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A— alojamiento WEB y registro de dominios 


Registro de dominios por sólo 15 €/año 
Planes de hosting avanzados (PHP4, 
MySQL, Perl, ASP...) desde 11,17 €/mes 
Planes básicos desde 3,90 €/mes 


«+— alojamiento WEB multidominio 


especial para distribuidores; 

ofrece hosting a tus clientes desde 
sólo 29,90 € al mes para alojar 
los dominios que quieras, con 
total control gracias a nuestros 
paneles de gestión online, e 
incluso con tu propia marca 


A— servidores dedicados / housing 


tu propio servidor dedicado 
desde 145 €/mes, a partir de 
100GB de transferencia al mes 


Alo alo: AA | 
housing desde 75 €/mes 
conectividad multioperador 


Los precios indicados no incluyen IVA 16% 


Los importes y caracteristicas pueden variar sin previo aviso 


C, Hostalia todo está dedicado a ti. Nuestra infraestructura técnica en uno de los 
mejores centros de datos de España, nuestro personal altamente cualificado y 
nuestro Servicio de Atención al Cliente, son para ti. 

En Hostalia nos dedicamos exclusivamente a dar soluciones de hosting, a alojar tu 
web o tu servidor. Así, nuestra especialización nos permite estar volcados en dar un 
mejor servicio, cuidando cada detalle para que todo funcione al 100% 
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www.hostalia.com 


dedicados al hosting, a tu Web, a ti 
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garantía de calidad: 
- infraestructura propia en España 
- conectividad multioperador 
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En este número vamos a manejar la base de datos MySQL en PHP. Conocer como se 
programan aplicaciones utihzando Bases de Datos es muy importante. ya que nos permitirá, 


por ejemplo. buscar vulnerabilidades en una Web. Pero todo a su tiempo. primero hay que 


aprender como va esto de las bases de datos en PHP. 


Aplicaciones Web. 


Uno de los aspectos más importantes de cualquier 
lenguaje de programación es el acceso a Bases de 
Datos (BBDD). Si unimos la utilidad y la potencia 
de las Bases de Datos a la programación de páginas 
PHP, podemos programar cualquier aplicación que 
nos podamos imaginar. 


La mayoría de los Websites que existen en Internet, 
obtienen la información que muestran en sus 
páginas accediendo a la información existente en 
una base de datos. 


Un claro ejemplo de esto son los portales de noticias. 
En ellos, la información publicada se obtiene a 
través de consultas a la Base de Datos (donde se 
encuentran las noticias). Pero también existen 
Websites en Internet que insertan, modifican e 
incluso eliminan datos de una Base de Datos, como 
por ejemplo una librería on-line, en ella se insertan 
datos de los clientes, se actualiza el stock de los 
pedidos realizados... 


Arquitectura Web - BBDD 


En una Aplicación Web que accede a una base de 
datos necesitamos los siguientes elementos: 
> El navegador del cliente. 

> El servidor de páginas HTML y PHP 

> El protocolo HTTP que se encarga de comunicar 
al navegador y al Servidor Web. 

> La Base de Datos, donde se encuentra la 
información que se maneja en la aplicación. 
> Canal de Comunicación: Los mecanismos (ODBC, 
API de BBDD) necesarios para comunicar al servidor 
web con la base de datos... ... no te asuste tanta 
sigla que ahora lo veremos con detalle. 


El usuario utiliza el navegador o browser tanto 
para enviar como para recibir las páginas Web. El 
usuario envía las páginas al Servidor Web y recibe 
las páginas del Servidor Web a través del protocolo. 


El Servidor Web se encarga atender las peticiones 
del usuario (solicitud de páginas), procesarlas y 
devolverle el resultado. Este Servidor Web será 
capaz de servir tanto páginas estáticas HTML como 


páginas dinámicas PHP que se hayan interpretado 
anteriormente. 


La Base de Datos, como ya hemos mencionado, 
es donde se encuentra la información. Hay muchos 
tipos de Base de Datos y, para el que no tiene ni 
idea, haremos un paralelismo con los Sistemas 
Operativos que nos servirá para entender el siguiente 
punto. 


Un Sistema Operativo (por ejemplo Windows) puede 
mostrarnos el contenido del Disco Duro. En LINUX 
exactamente igual, es un Sistema Operativo que 
es capaz de mostrarnos el contenido del Disco Duro. 
PERO OJO!!! Aunque con ambos Sistemas Operativos 
obtenemos lo mismo (acceso al contenido del disco 
duro), la forma en que trabajan internamente es 
MUY DISTINTA, por lo tanto, el programa que se 
encarga de acceder y visualizar el contenido del 
disco duro en Windows es totalmente distinto al de 
Linux. 


En las Bases de Datos es exactamente igual. Hay 
Bases de Datos de muchos fabricantes distintos 
(Oracle, SQL, R3...), nosotros podemos tener 
nuestros datos en Oracle, en SQL o en R3, pero 
para acceder a ellos necesitaremos instrucciones 
distintas. 


La Base de Datos necesita tener un canal de 
comunicación con el Servidor Web encargado de 
procesar las páginas. Esta comunicación se puede 
realizar de dos formas diferentes: 

>» ODBC (Open Database Connectivity): permite 
que una Aplicación Web se conecte a cualquier 
base de datos que soporte ODBC. Si la base de 
datos cambia, no hay que cambiar la programación, 
ya que la forma de acceder a la información por 
ODEBC es la misma para cualquier motor de Base 
de Datos que soporte ODBC. Como ya vimos antes, 
si Oracle, SQL y R3 soportasen ODBC, las 
instrucciones de acceso a los datos serían las mismas 
(y todos contentos). 

» API (Application Programming Interface): 
conjunto de funciones que forman parte de la 
interfaz de acceso a una Base de Datos. Si la 
base de datos cambia, hay que cambiar la 
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programación, ya que la API que accede a otra 
base de datos será diferente. Por ejemplo, las API 
de MySQL y Oracle son totalmente diferentes. 


En muchos casos también es posible utilizar ambas 
formas de acceso a una base de datos, éste es el 
caso de MySQL. Si tenemos los drivers necesarios 
para acceder a MySQL a través de ODBC, podemos 
utilizar el conjunto de funciones ODBC que incluye 
PHP. Pero también es posible acceder a esta base 
de datos a través de su propia API. 


Si accedemos a la base de datos a través de la 
API, la rapidez de acceso será mucho mayor que 
si accedemos a ella a través de ODBC, ya que ODBC 
deberá transformar las instrucciones generadas por 
PHP a otras que entienda MySQL, haciendo por lo 
tanto más lento el proceso. 


Bases de Datos 


Las Bases de Datos (sean del “fabricante” que sean) 
pueden ser: 


> Bases de Datos Relacionales (RDBMS, Relation 
Database Management Systems): son las más 


utilizadas. Los datos se almacenan en diferentes 
tablas, que a su vez están compuestas por registros 
(filas), columnas y campos. Existen una gran 
variedad de BBDD relacionales en el mercado: 
Access, SQL Server, Oracle, ... 


» Bases de Datos Orientadas a Objetos (ODBMS, 
Object Oriented DBMS): el dato es representado 


como un objeto con sus correspondientes 
propiedades y métodos. Algunas de estas bases de 
datos son ObjectStore, Versant, GemStone, ... 
>» Bases de Datos Extendidas (ORDBMS, Object 
Relational DBMS): reúne las características de los 
dos tipos de bases de datos anteriores. Un ejemplo 
de este tipo de bases de datos es PostgreSQL. 


De entre todas las bases de datos que existen en 
el mercado MySQL forma la pareja perfecta con 
PHP. Existen versiones de MySQL tanto para Linux 
/ Unix como para Windows, por lo tanto PHP-MySQL 
se puede utilizar sobre cualquier plataforma. 


MySQL es una base de datos ideal para aplicaciones 
de tamaño pequeño o medio. Su funcionamiento se 
basa en ejecutar primero un programa residente. Su 
manejo es a través de la línea de comandos y soporta 
el lenguaje SQL y conexiones a través de ODBC nivel 
0-2. 


MySQL almacena cada una de las tablas de la base 
de datos en un fichero separado. El tamaño máximo 
de estos ficheros es de 4Gb y la limitación impuesta 
por el sistema operativo y la capacidad de nuestro 
disco duro. 
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En el presente curso trabajaremos con la base de 
datos MySQL por su integridad con PHP. PHP permite 
trabajar con las bases de datos más utilizadas, ya 
sea utilizando su propia librería de funciones (API) 
o realizando la conexión mediante un enlace ODBC. 
El soporte de base de datos en PHP incluye algunas 
como Oracle, MySQL, PostgreSQL, Sybase, ... 


Instrucciones SQL 


El lenguaje SQL (Structured Query Language) es 
el lenguaje estándar que se utiliza para manipular 
la información que contienen las bases de datos 
relacionales. 

No vamos a entrar en profundidad en el lenguaje 
SQL, ya que esto nos llevaría un tiempo considerable. 
Pero si que vamos a contemplar los conceptos 
básicos necesarios para realizar una Aplicación Web. 


Seleccionar 


Para seleccionar registros en una base de datos 
utilizaremos la instrucción SELECT. Veremos el 
funcionamiento de la instrucción SELECT a lo largo 
de los siguientes ejemplos. 


Los ejemplos que se van a mostrar van a actuar 
sobre las siguientes tablas: 


Tabla: ALUMNOS 
[CODIGO|NOMBRE [APELLIDO] PAIS [EDAD|CURSO] 


Tabla: CURSOS 


CODIGO CURSO HORAS 


cl PHP 180 
práctico 
c2 ASP. NET 150 


//Selecciona todos los campos de la tabla alumnos 


SELECT * FROM ALUMNOS; 


Y el resultado obtenido es: 


CODIGO|NOMBRE]APELLIDO| PAIS [EDAD|CURSO] 


//Selecciona el nombre y el apellido de la tabla alumnos 
SELECT NOMBRE, APELLIDO FROM ALUMNOS; 
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Donde NOMBRE y APELLIDO son 
campos de la tabla y van separados 
por comas (,) 

Y el resultado obtenido es 
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NOMBRE | APELLIDO 


pazo 


//Selecciona el nombre y el apellido de la tabla alumnos 
//cuyo país sea España 

SELECT NOMBRE, APELLIDO, PAIS 

FROM ALUMNOS 

WHERE PAIS = “España”; 


Donde NOMBRE, APELLIDO y PAIS son campos 
de la tabla y la opción WHERE filtra por los criterios 
deseados, en este caso cuyo PAIS de procedencia 
sea España. Cuando comparemos con una cadena, 
ésta debe ir rodeada de comillas simples ('). 


Y el resultado [NOMBRE | APELLIDO| PAIS 
obtenido es: 


Podemos añadir los operadores lógicos AND y OR 
a la opción WHERE y de esta forma obtendremos 
filtros con diferentes condiciones. 


//Selecciona todos los capos de la tabla alumnos 

//que tengan menos de 30 años y cuyo país sea España 
SELECT * FROM ALUMNOS 
WHERE EDAD < 30 AND PAIS = “España”; 


Y el resultado obtenido es: 


(CODIGO|NOMBRE [APELLIDO] PAIS [EDAD|CURSO 


Ahora vamos a relacionar la tabla ALUMNOS y 
CURSOS para obtener los alumnos junto al curso 
que realizan. Para realizar esta relación 
correctamente las tablas deben tener un campo 
de relación que en este caso es el campo “CURSO” 
de la tabla ALUMNOS con el CODIGO de la tabla 
CURSOS. 


//Selecciona el nombre, el apellido de la tabla alumnos 


// y el curso de la tabla cursos 
SELECT ALUMNOS.NOMBRE, ALUMNOS.APELLIDO, CURSOS.CURSO 
FROMALUMNOS, CURSOS 


WHERE ALUMNOS.CURSO = CURSOS.CODIGO; 


Y el resultado obtenido es: 


NOMBRE | APELLIDO CURSO 


PHP práctico 
PHE práctico 
ASP-NET 


David |Márquez |JSP 


Para ordenar los resultados obtenidos añadiremos 
al final de la consulta la opción ORDER BY y a 
continuación los campos por los que queramos 
ordenar y el sentido de la ordenación ASC 
(ascendente) y DESC (descendiente). 


//Selecciona todos los capos de la tabla alumnos 
//cuyo curso sea el C1 y los ordena por su edad 
SELECT * FROM ALUMNOS 
WHERE CURSO = 'C1* ORDER BY EDAD ASC; 


Y el resultado obtenido es: 


Utilizando la opción LIKE en vez del operador = 
podremos comparar parte de una cadena. 


//Selecciona todos los capos de la tabla alumnos 
//cuyo nombre contenga la letra “a” 

SELECT * FROM ALUMNOS 

WHERE NOMBRE LIKE “%a%'; 


//Selecciona todos los capos de la tabla alumnos 
//cuyo nombre empiece la cadena “Da” 
SELECT * FROM ALUMNOS 
WHERE NOMBRE LIKE 'Da%'; 


//Selecciona todos los capos de la tabla alumnos 
//cuyo nombre termine con la letra “a” 
SELECT * FROM ALUMNOS 
WHERE NOMBRE LIKE “%a'; 


Con LIKE 'Y%cadena%” selecciona registros cuya 
“cadena” esta contenida dentro del campo a 
comparar. 


Con LIKE 'cadena%” selecciona registros cuya 
“cadena” empieza por campo a comparar. 


Con LIKE '%cadena”' selecciona registros cuya 
“cadena” termina por campo a comparar. 


Si sabemos de antemano que la ejecución de una 
sentencia de selección va a devolver una gran 
cantidad de registros, se puede limitar esta cantidad 


de registros. 

//Devuelve solo los 10 primeros registros de la selección 
SELECT * FROM ALUMNOS LIMIT 10; 

//Devuelve 15 registros a partir de la posición 30 
SELECT * FROM ALUMNOS LIMIT 530,15; 
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Actualizar 


Para conseguir modificar el contenido de una base 
de datos utilizaremos la instrucción UPDATE. 
Comprenderemos mejor su funcionamiento a través 
de los siguientes ejemplos. 


Si queremos modificar el contenido de un campo 
de un registro en concreto utilizaremos la instrucción 
UPDATE seguida de la opción WHERE para filtrar 
el registro que queremos modificar. 


//Modifica el contenido de la edad de María de la tabla alumnos 
UPDATE ALUMNOS SET EDAD = 25 WHERE CODIGO = “Al '; 


Y el resultado obtenido es: 


Si queremos modificar más de un campo del mismo 
registro, añadiremos tantos campo=valor separados 
por comas, como campos queramos modificar. 


//Modifica el contenido de la edad de María de la tabla alumnos 
UPDATE ALUMNOS SET EDAD = 25, CURSO = 'C2” 
WHERE CODIGO = “Al”; 


Y el resultado obtenido es: 


CURS 


CODIGO|NOMBRE | APELLIDO PAIS 
A3 
Ad 


las —[raura [Cardone [Argentina 
[as ——Joavid [márquez [venezuela|27 | 


Si queremos modificar más de un registro al mismo 
tiempo en la opción WHERE deberemos aplicar un 
filtro que afecte a más de un registro. 


//Modifica el contenido de la edad de María 
//de la tabla alumnos 
UPDATE ALUMNOS SET EDAD = 25 
WHERE CURSO = 'C1”% 


Y el resultado obtenido es: 


CODIGO|NOMBRE | APELLIDO PAIS 


Argentina 


David |Márquez 


Ad 


Venezuela 
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Si queremos modificar todos los registros de una 
tabla, simplemente no deberemos añadir la opción 
WHERE a la instrucción UPDATE. 


//Modifica el contenido de la edad de María de la tabla alumnos 
UPDATE ALUMNOS SET EDAD = 25 


Y el resultado obtenido es: 


CODIGO|NOMBRE | APELLIDO PAIS 


U 

1 
cl 
c2 


Insertar 


Para añadir o insertar nueva información en una 
base de datos utilizaremos la instrucción INSERT. 
Veremos el funcionamiento de INSERT a través de 
los siguientes ejemplos. 


//Añade un registro a la tabla alumnos 
INSERTINTO ALUMNOS 
(CODIGO, NOMBRE, APELLIDO, PAIS, EDAD, CURSO) 
VALUES (“A5”, Sabina”, Campoy”, España”, 17, 'C1); 


Y el resultado obtenido es: 


[CODIGO] NOMBRE | APELLIDO] PAIS [EDAD|CURSO| 


A A AAA 


Es importante recordar el tipo de dato que puede 
almacenar cada campo. Las inserciones de datos 
tipo string deben ir entre comillas, en cambio los 
de tipo numérico no. 


En el uso de INSERT no es necesario especificar 
ningún filtro (WHERE), ya que la inserción no afecta 
a ningún registro en particular, si no que afecta a 
una tabla específica. 


Borrar 


La instrucción DELETE borra un determinado registro 
de una tabla, para especificar los registros que 
queremos eliminar lo haremos añadiendo la opción 
WHERE. Al igual que con la instrucción UPDATE, si 
no se especifica la opción WHERE, el borrado afectará 
a todos los registros de la tabla. 
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Elimina al alumno A2 

DELETE FROM ALUMNOS WHERE CODIGO = “42”; 
Elimina a los alumnos del curso Cl 

DELETE FROM ALUMNOS WHERE CURSO = 'C1''; 
//Elimina a todos los alumnos 

DELETE FROM ALUMNOS; 


PHP - BBDD (MySQL) 


PHP dispone de un conjunto de funciones que 
forman la API que permite utilizar la base de datos 
MySQL. Estas funciones se encuentran optimizadas 
para sacar el máximo rendimiento a MySQL, por 
lo tanto serán mucho más rápidas que acceder a 
MySQL a través de ODBC. La lista de funciones en 
PHP que manejan el API de MySQL es muy amplia, 
a continuación veremos las funciones más 
importantes. El listado completo de todas las 
funciones lo podemos encontrar en la página web 


oficial de PHP (www.php.net). 


mysql_connect 
Abre una conexión a un servidor MySQL 


La sintaxis de la función es la siguiente: 

int mysql_connect ( [string servidor [string 
:puerto/path_to_socket] [, string usuario [, string 
password]]]) 


La función devuelve un valor numérico de tipo ínt 
que identifica la conexión con el servidor MySQL. 
» Servidor: nombre o dirección IP del servidor 
donde está la base de datos. 

> Puerto: puerto por el que se accede a la base de 
datos. 

>» Path_to_socket: el socket que el servidor está 
utilizando para escuchar las peticiones (sólo en 
Unix) 

> Usuario: nombre del usuario para realizar la 
conexión a la base de datos. 

> Password: clave del usuario para realizar la 
conexión a la base de datos. 


La función mysql_connect() establece una conexión 
a un servidor MySQL. Todos los argumentos son 
opcionales, y si no se especifican, se asumen los 
valores por defecto: 

» servidor: localhost 

» puerto: 3306 

> path_to_socket: /tmp/mysql.sock 

> usuario: usuario propietario del proceso del 
servidor 

» password: password vacia. 


El servidor también puede incluir un número de 
puerto (localhost:3306) o un camino al socket 
(:/camino/al/socket) para localhost. 


En el caso de que se haga una llamada a 
mysql_connect() con los mismos argumentos, no 
se establecerá un nuevo enlace, sino que se 
devolverá el enlace ya abierto. Esto consigue 
optimizar recursos, ya que más de un enlace abierto 
solo consumiría más recursos para obtener los 
mismos resultados. 


El enlace al servidor se cerrará tan pronto como la 
ejecución del script PHP finalice, es decir cuando 
termine la ejecución de la página PHP, a menos que 
se cierre antes explícitamente llamando a 
mysql_close(). 


En el siguiente ejemplo se muestra el proceso de 
conexión a un servidor MySQL que está en la misma 
máquina (localhost) donde está el Servidor Web. El 
usuario es “pepe” y la contraseña es “12colina34” 


mysql_connect(“localhost”, “pepe”, “12colina34”); 


Si el puerto es diferente al puerto por defecto y no 
es necesario especificar el usuario y password: 


mysql_connect(“localhost:3345”, “”, *”); 


Lo más práctico a la hora de realizar aplicaciones 
es declarar la conexión a la base de datos en un 
fichero php independiente y después incluir este 
fichero en aquellas páginas que necesiten una 


conexión a la base de datos. 


<?php 

8servidor = “127.0.0.1”; 

Susuario = “root”; 

$clave = “admin”; 

$miconexion = mysql_connect($servidor, $usuario, 
3clave); 


2> 


Si al ejemplo anterior lo llamamos “conexion.php” 
deberemos incluir el siguiente código en nuestras 
páginas: 


<?php 
include (“conexion.php ”); 
PS 


Para poder conectarnos a la base de datos, debemos 
indicar en los parámetros de la conexión un usuario 
y contraseña válidos y existentes como usuarios en 
la base de datos. Recuerda que en el tema anterior 
aprendimos una administración básica de la MySQL 
a través de phpmyadmin. 
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mysql_select_db 


Selecciona la base de datos con la que se va a 
trabajar de entre todas las existentes en el servidor. 


La sintaxis de la función es la siguiente: 
int mysql_select_db ( string base_de_datos [, int 
identificador_de_enlace]) 


Devuelve TRUE si éxito, FALSE si error. 
Los argumentos de la función son: 

> Base_de_datos: nombre de la base de datos a 
seleccionar. 

>» Identificador_conexión: identificador de la 
conexión. 


<?php 
mysql_select_db(“pruebas”, $miconexion); 
q 


La función mysql_select_db() establece la base de 
datos activa que estará asociada con el identificador 
de conexión especificado. Si no se especifica un 
identificador de conexión, se asume el ultimoúltimo 
enlace abierto. Si no hay ningún enlace abierto, la 
función intentará establecer un enlace como si se 
llamara a mysql_connect(). 


Ahora modificaremos el include conexión para 
añadirle la línea de selección de la Base de Datos 
donde hemos dado de alta las tablas ALUMNOS y 
CURSOS. 


<?php 

8servidor = “127.0.0.1”; 

Susuario = “root”; 

8clave = “admin”; 

$miconexion = mysql_connect($servidor, $usuario, 
$clave); 

mysql_select_db(“aprende_ php”, $miconexion); 
ps 


mysql_query 


Envía una sentencia SQL a MySQL para que 
se ejecute 


La sintaxis de la función es la siguiente: 
int mysql_query ( string sentencia [, int 
identificador_conexión]) 


Los argumentos utilizados en esta función 
son: 
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> Sentencia: la sentencia SQL que será enviada al 
servidor para su ejecución. 

> Identificador_conexión: el identificador de la 
conexión sobre la que el comando de SQL será 
enviado al servidor de la base de datos. 


La función mysql_query() envía una sentencia a la 
base de datos activa en el servidor asociada al 
identificador de enlace. Si no se especifica un 
identificador_conexion, se asumirá el último enlace 
abierto. Si no hay ningún enlace abierto, la función 
intenta establecer un enlace como si se llamara 
función mysql_connect() sin argumentos, y lo utiliza. 


La función mysql_query() devuelve TRUE (no-cero) 
O FALSE para indicar si la sentencia se ha ejecutado 
correctamente o no. Un valor TRUE significa que 
la sentencia era correcta y pudo ser ejecutada en 
el servidor. No indica nada sobre el número de fila 
devueltas. Es perfectamente posible que la sentencia 
se ejecute correctamente pero que no devuelve 


ninguna fila. 


<?php 

$consulta = “SELECT NOMBRE, APELLIDO FROMALUMNOS”; 
$id_query =mysql_query(8$consulta, £miconexion); 

?> 


Asumiendo que la sentencia tenga éxito, se puede 
llamar a mysql_affected_rows() para saber cuantas 
filas fueron afectadas (para DELETE, INSERT, 
REPLACE, o UPDATE). Para las sentencias SELECT, 
mysql_query() devuelve un nuevo identificador de 
resultado que se puede pasar a mysql_result(). 
Cuando se acabe de utilizar el resultado, se pueden 
liberar los recursos asociados utilizando 
mysql_free_result(). 


mysql_result 


Devuelve el dato solicitado de un identificador 
generado por la sentencia mysql_query. 
La sintaxis de la función es la siguiente: 
int mysql_result ( int id_consulta, int numero_de_fila 
[, mixed campo]) 


Los argumentos de esta función son: 

> Id_consulta: es el identificador de la consulta 
realizada con mysql_query() 

> Numero_de fila: fila a la que se accede para leer 
el dato. 

>» Campo: campo de la fila que se quiere obtener. 


La función mysql_result() devuelve el contenido de 
una celda de un resultado MySQL. El argumento 
campo puede ser el nombre del campo o 
tabla.nombre_del_campo. Si el nombre de la 
columna tiene un alias (campo as campol), 


Página 9 


Programación PHP - Programación PHP - Programación P 


utilizaremos el alias en lugar del nombre de la 
columna. 


<?php 

include (“conexion.php ”); 

3$consulta = “SELECT NOMBRE, APELLIDO FROM 
ALUMNOS”; 

$id_query = mysql_query(8consulta, $miconexion); 
Bresultl =mysql_result($id_query, 1, 1); // fila 1, columna 1 
$result2 = mysql_result($id_query, 2, 1); // fila 2, columna 1 
print(“resultl: ”. $resultl . “<br>"); 

print(“result2: ”. $result2. “<br>"); 

?> 


Para operar con la función mysql_result() debemos 
imaginarnos el resultado de la consulta como una 
matriz: 


CODIGO NOMBRE APELLIDO PAIS 
Al María López España 


Fuentes México 


Argentina 


El resultado de ejecutar el ejemplo anterior es: 


2 np://127.0.0.1... [- (516%) [AAA trabaja con un 
Edición ver Fe” MY lloran resultado, debe 

» | | considerarse la utilización de 
Q us ”" Uy [») una función que devuelva una 
fila entera ya que estas 
funciones son MUCHO mas 
rápidas que mysql_result(). 
Especificando un offset 
numérico en lugar del 
nombre del campo, la 
ejecución será mas rápida. 


Archivo 


my » 
vínculos > 


Dirección É v Ir 


result1: José 
result2: Laura 


Las llamadas a mysql_result() no deben mezclarse 
con llamadas a las otras sentencias que trabajan 
con un identificador de resultado. 


mysql_fetch_array 


Extrae la fila de resultado como un array asociativo. 
La sintaxis de la función es la siguiente: 
array mysql_fetch_array ( int id_resultado [, 
int tipo_de_resultado]) 


Los argumentos de la función son: 

» Id_resultado: identificador de resultado devuelto 
por mysql_query(). 

> Tipo_de resultado: constante que indica el tipo 
de array que devuelve. Puede tomar los valores 
MYSQL_NUM, MYSQL_ASSOC y MYSQL_BOTH. 
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<?php 
include (“conexion.php ”); 
$consulta = “SELECT NOMBRE, APELLIDO FROMALUMNOS”; 
$id_query =mysql_query(8$consulta, $miconexion); 
while ($fila = mysql_fetch_array($id_query)) f 
print(“Nombre:”. $fila[ “NOMBRE”] . “<br>”); 
/ 


?> 


Al ejecutar el código anterior obtenemos 


el siguiente resultado: 'j o 
2 http://127.0.0.11t... [2)(B]6X) 
dd 


Para acceder a los datos se | Archivo Edición ver Fawc ” 


utiliza como índice del array 
el nombre del campo que lo 
identifica o bien la posición 
que ocupa en la selección. 


Q=-20 ma 


Dirección [E] ht + Ir 


Vínculos 


Nombre: María 
que [| Nombre: José 
Nombre: Laura 
Nombre: David 


Devuelve un array 
corresponde al resultado de 
la consulta, o FALSE si no 
quedan más filas. 


La función mysql_fetch_array() es una versión 
extendida de mysql_fetch_row(). Además de guardar 
los datos en el índice numérico de la matriz, guarda 
también los datos en los Índices asociativos, usando 
el nombre de campo como clave. 


Si dos o más columnas del resultado tienen el mismo 
nombre de campo (puede pasar al relacionar tablas), 
la última columna toma la prioridad. Para acceder 
a la(s) otra(s) columna(s) con el mismo nombre, 
se debe especificar el índice numérico o definir un 
alias para la columna. 


La función mysql_fetch_array() no es 
significativamente mas lenta que mysql_fetch_row(), 
sin embargo tiene un valor añadido importante. 


mysql_num_ rows 


Devuelve el número de filas de un resultado La 
sintaxis de la función es la siguiente: 
int mysql_num_rows ( int id_resultado) 


La función mysql_num_rows() devuelve el numero 
de filas de un identificador de resultado. 


En el siguiente ejemplo utilizaremos el número de 
filas seleccionadas para crear un bucle e ir mostrando 
el valor del campo “nombre” de todas las filas 
seleccionadas. Utilizamos la variable del bucle $i 
para indicar la fila en mysq/_result(). 
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<?php 
include (“conexion.php ”); 
3$consulta = “SELECT NOMBRE, APELLIDO FROM ALUMNOS”; 
$id_query =mysql_query(8consulta, £miconexion); 
$filas = mysql_num_rows($id_ query); 
for ($i=0; $i<8filas; $i++) [ 
$campo = mysql_result($id_query, $1, “NOMBRE”); 
print(“campo ”. ($1 +1). “: ”. $campo. “<br>”); 
? 
?> Í 2 http://127.0.0.1/tema10/bbdd3.php - Microsof... [=/(5)[%) 
Archivo Edición Ver Favoritos Herramientas Ayuda 


Al ejecutar el código anterior | Am - ¿y (3 [8% 2 rias 
obtenemos el siguiente 


resultado: 


Dirección [8] http://127.0,0.1/tema10/bbdd3.php 4! [EJ 1r 


campo 1: María 
campo 2: José 

campo 3: Laura 
campo 4: David 


Por razones de compatibilidad 
puede usarse también 
mysql_numrows(). 


mysql_field_name 


Devuelve el nombre del campo especificado en un resultado La 
sintaxis de la función es la siguiente: 
string mysql_field_name ( int id_resultado, int indice_del_campo) 


La función mysql_field_name() devuelve el nombre del campo 
especificado. Los argumentos de la función son el identificador 
de resultado y el índice del campo. Devolverá el nombre del 
campo asociado. 


A 


<?php 

include (“conexion.php ”); 
3consulta = “SELECT NOMBRE, APELLIDO FROM ALUMNOS”; 
$id_query = mysql_query($consulta, $miconexion); 

¿campo = mysql_field_name(8$id_ query, 0); 
print(“campo: ”. $campo . “<br> ”); 

q 


23 http://127.0.0.1/tematO/bbdd4, php - Microsof. 
Archivo Edición Ver Favoritos — Heiramientas — Ayuda hd 


Qui - ») x) El A] JP visado 


ofebdió php Y ir Vicos 


Al ejecutar el código anterior 


obtenemos el siguiente resultado: Dres (ep 127.0.0. mat 


campo: NOMBRE 
Por razones de compatibilidad puede 
usarse tambientambién 
mysql_fieldname(). 


mysql_field_type 


Devuelve el tipo de dato del campo especificado en un resultado. 
La sintaxis de la función es la siguiente: 
string mysql_field_type ( int id_resultado, int indice_del_campo) 


La función mysql_field_type() es similar a la función 
mysqL_field_name(). Los argumentos son idénticos, pero se 
devuelve el tipo de campo. El tipo será "int", "real", "string", 
"blob", u otros detallados en la documentación de MySQL. 


<?php 

include (“conexion.php ”); 

3consulta = “SELECT NOMBRE, APELLIDO FROM ALUMNOS”; 
$id_query = mysql_query($consulta, $miconexion); 

3tipo = mysql_field_type(S$id_query, 0); 

print(“tipo: ”. $tipo . “<br>"); 

?> 


> 


Dominios sin letra pequeña 


Tu propio dominio por sólo 18,95 € por un año”, 


con todo incluido: 


* IVA incluido 


«COM * Panel de control 
.net * Redirección a tu página WEB con META-TAGS 
.0rg * Redirección de email 
info * Gestión completa de DNS: 


biz apunta a la IP de tu conexión 
* Bloqueo antirrobo 
* Sin letra pequeña: 18.95 IVA Incl (16.34 + IVA 16%). Precio para 


un año de registro extensiones .com, .net, .org, .info, .biz . 
Precios menores contratando varios años. 


domiteca 
www.domiteca.com 


Precios especiales para distribuidores; consúltanos. 
DOMITECAO es un servicio ofrecido por HOSTALIA INTERNET S.L. 
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Al ejecutar el código anterior obtenemos el siguiente 
resultado: 

Por razones de compatibilidad 
puede usarse también 
mysql_fieldtype(). 


A nttp:11127.0.0.... [2 ](5)5%) 
>| 


>» 


|| mysql_create_db 


Archivo Edición Ver 


O*w*- O - le 


Dirección (4 ¡Y Ir 


Vínculos 


Crea una nueva base de datos 
MySQL después de haber 
realizado una conexión al 
servidor. La sintaxis de la función 
es la siguiente: 


int mysql_create_db ( string base_de_datos [, int 
identificador_conexion]) 


Los argumentos utilizados en esta función son: 

> Base_de_datos: nombre de la base de datos a 
crear. 

>» Identificador_conexión: identificador de la 
conexión. 


La función mysql_create_db() intenta crear una 
nueva base de datos en el servidor asociado al 
identificador de conexión. 


<?php 
mysql create _db(“pruebas”, $miconexion); 
2 


Por razones de compatibilidad puede usarse 
mysql_createdb() igualmente. 


mysql_drop_db 


Borra una base de datos MySQL. La sintaxis de la 
función es la siguiente: 

int mysql_drop_db ( string base_de_datos [, int 
identificador_conexion]) 


Devuelve TRUE si éxito, FALSE si error. 


Los argumentos de la función son: 

> Base_de_datos: nombre de la base de datos a 
borrar. 

>» Identificador_conexión: identificador de la 
conexión. 


<?php 

mysql_drop_db(““pruebas”, $miconexion); 

q 

La función mysql_drop_db() intenta suprimir una 


base de datos completa del servidor asociado al 
identificador de enlace. 
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mysql_errno 


Deuelve el número del mensaje de error de la última 
operación MySQL. La sintaxis de la función es: 
int mysql_errno ( [int identificador_conexion]) 


<?php 

include (““conexion.php”); 

$consulta = “SELECT NOMBRE, APELLIDO FROM 
ALUMNOOS”; 

$id_query = mysql _query($consulta, Smiconexion); 
print(“Error: ” . mysql_errno($miconexion) . “<br>”); 
9> 


Al ejecutar el código anterior 


obtenemos el siguiente 
resultado: 


23 http://127.0.0.1/tema10/bbdd6.php - Microsof.... [2 (E 
Archivo Edición Ver Favoritos Herramientas Ayuda 


Qus- Y a [2] € $ vúsqueca 


Dirección [48] http:11127.0.0.1/temalO/bbdd6.php Y [EJ 1 


La ejecución del ejemplo 
anterior generará un error 
debido a que la tabla 
ALUMNOS está mal escrita. 


Error. 1146 


mysql_error 


Devuelve el texto del mensaje de error de la última 
operación MySQL. La sintaxis de la función es la 
siguiente: 

string mysql_error ( [int identificador_de_enlace]) 


Los errores devueltos por mySQL no se indican en 

los warnings, Por lo tanto debemos usar estas 

funciones para encontrar el número de error. 

<?php 

include (““conexion.php””); 

$consulta = “SELECT NOMBRE, APELLIDO FROM ALUMNOOS”; 
$id_query = mysql query($consulta, $miconexion); 
print(“Error”.mysql_errno($miconexion).*“:”.mysql_error($miconexion).“<br>”); 
03 


Al ejecutar el código anterior obtenemos el 
siguiente resultado: 


¿2 http://127.0.0.1/tema10/bbdd7. php - Microsof... [=[5)[%] 
Archivo Edición Ver Favoritos Herramientas Ayuda 


Qu--0- AO Prem 


En el próximo 
número ... 


Dirección [4E] http://127.0.0. 1/temal0/bbdd7.php | [EJ 1 


Error1146.Table 'aprende_php.alumnoos' doesn't exist 
Pues con este numero 


damos por terminado los 
conceptos básicos de 
PHP, ahora toca aplicar todo lo aprendido para 
crear aplicaciones Web seguras. En el próximo 
número comenzaremos a explicar como 
programar aplicaciones seguras utilizando PHP. 


PC PASO APASO N? 21 


Este mes nos metemos de lleno en los paquetes de Internet. Crearemos un paquete desde 


cero, nos adentraremos en el código bmário y para rematar comprenderemos de una 


vez por todas el sigmficado de algunos ataques ya conocidos por todos. 


1. Fundamentos de la 


comunicación digital. 


Cuando empecé con el curso de TCP/IP, cuya 
cuarta entrega tenéis ahora mismo en vuestras 
manos, ya os advertí de que, cansado de ver 
una y otra vez las mismas técnicas para 
explicar los conceptos en todos los libros y 
tutoriales, este curso pretendía ser una 
apuesta arriesgada, orientando la explicación 
de los mismos conceptos desde un punto de 
vista bastante diferente. 


Siguiendo en esta línea un tanto experimental, 
voy a dar otro nuevo paso que no he visto 
en ningún libro sobre TCP/IP, para tratar de 
que os familiaricéis más aún con TCP/IP. 


Lo que pretendo conseguir ahora es que 
convirtáis esos misteriosos paquetes TCP que 
tenéis rondando ahora mismo por vuestras 
cabezas, en algo tangible, de carne y hueso, 
o más bien debería decir de unos y ceros. Y 


Para ello, vamos a ver con un ejemplo cómo 
está construido exactamente un paquete TCP. 
Mi intención es que después de este ejemplo, 
los paquetes TCP dejen de ser al fin para 
vosotros unos entes teóricos de los cuales 
conocéis el funcionamiento, pero no su 
constitución “física”. 


Por supuesto, esta constitución física no 
podremos terminar de comprenderla hasta 
que lleguemos a la capa inferior de la jerarquía 
de capas de TCP/IP: el nivel físico. Así que 
habrá que esperar aún unos cuantos meses 
antes de que veamos qué son exactamente 
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esos ceros y unos de los que vamos a hablar 
ahora. 


De momento, nos quedaremos con una 
simplificación de la idea de qué es exactamente 
un cero y un uno. Como sabemos, los datos 
que circulan en una red lo hacen siempre a 
través de un medio físico. Este medio, 
normalmente, será un cable eléctrico, pero 
puede ser también, por ejemplo, una onda de 
radiofrecuencia, un cable óptico, o cualquier 
otro medio físico empleado en la interconexión 
de máquinas. Quedémonos con el caso más 
común, el del cable eléctrico, aunque todo lo 
explicado se puede extrapolar, por supuesto, 
a cualquier otro medio físico. 


Como es lógico, por un cable eléctrico circula 
electricidad. La electricidad por si misma no 
contiene mucha información. Un medio de 
transmisión de información será más versátil 
cuantos más parámetros posea. 


Por ejemplo, una imagen puede transmitir 
una gran cantidad de información (ya se sabe 
que una imagen vale más que mil palabras), 
ya que posee muchísimos parámetros, como 
son los colores en cada punto, la iluminación, 
etc. En cambio, la electricidad posee pocos 
parámetros propios, como pueden ser la 
tensión eléctrica (voltaje), y la intensidad 
eléctrica (corriente). Para colmo, estos dos 
parámetros están directamente relacionados 
entre sí (¿recordáis la famosa ley de Ohm, o 
vosotros también suspendíais física en el cole? + 


Por tanto, una primera solución intuitiva para 
transmitir información por medio de la 
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electricidad sería hacer variar esos parámetros 
en función de lo que quisiéramos transmitir. 


Por ejemplo, si queremos transmitir un 
número, podemos ajustar el voltaje del cable 
en relación directa con el valor de ese número. 
Por ejemplo, para transmitir un 5 pondríamos 
5 voltios en el cable, y para transmitir un 7 
pondríamos 7 voltios en el cable. Si, en 
cambio, queremos transmitir el número 
250000, más nos vale no tocar el “cablecito”, 
a no ser que queramos seguir este curso 
desde el más allá (allí también llega, desde 
que la revista cambió de distribuidor). 


Supongo que las mentes más despiertas 
habrán descubierto ya aquí una de las más 
destructivas técnicas de hacking. Si algún día 
os encontráis por un chat al <malnacido> ese 
que os robó la novia, basta con que le enviéis 
un paquete que contenga un número tocho 
con ganas, como el 176874375618276543, 
y por su módem circulará tal tensión eléctrica, 
que en el lugar que ocupaba su casa veréis 
un cono atómico que ni el de Hiroshima. 


Bueno, antes de que se me eche alguien 
encima por decir semejantes estupideces, 
tendré que reconocer que, como es lógico, 
las cosas no funcionan así en la práctica. 
¡Pero no os creáis que sea algo tan 
descabellado! ¿Y si en lugar de una proporción 
1/1 utilizamos otra clase de proporcionalidad 
para transmitir los números? 


Por ejemplo, supongamos que no queremos 
superar los 10 voltios y, en cambio, queremos 
transmitir números entre 1 y 1000. Pues basta 
con que establezcamos el convenio de que 
10 voltios equivalen al número 1000 y, por 
tanto, 5 voltios al 500, 2'5 voltios al 250, etc., 
etc. 


Esta solución no sólo es mucho más realista, 
si no que incluso ha sido el sistema de 
transmisión de información en el que se ha 
basado toda la electrónica hasta que llegó la 
revolución digital. Y el nombre de esto os 
sonará mucho, ya que a esto es a lo que se 
llama comunicación ANALÓGICA. 


Siempre habréis escuchado el término 
analógico como opuesto al término digital. 
Vamos a ver ahora mismo en qué consisten 
las diferencias entre analógico y digital. 


Si bien la tecnología analógica aprovecha la 
tensión eléctrica, uno de los parámetros que 
caracterizan la electricidad que circula por un 
cable, la tecnología digital no utiliza ninguno 
de los parámetros de la electricidad para 
transmitir la información. 


¿Cómo puede transmitirse la información 
entonces? Evidentemente, siempre es 
imprescindible la presencia de una variable 
que se pueda modificar convenientemente 
para codificar la información que se desea 
transmitir. La diferencia es que en el caso de 
la transmisión digital el parámetro que se 
utiliza para portar la información no es 
inherente a la propia electricidad, si no que 
es un parámetro más sencillo: el tiempo. 


Evidentemente, el tiempo es siempre un 
parámetro fundamental en toda comunicación, 
ya que es imprescindible que haya una 
sincronización temporal entre transmisor y 
receptor. 


Volviendo al caso de la transmisión analógica, 
pensemos por ejemplo en el caso en el que 
se transmitan sólo números del 0 al 9 y, para 
conseguir representar números más altos lo 
que se hace es transmitir cada una de sus 
cifras por separado (unidades, decenas, 
centenas, etc.). Si, por ejemplo, quisiéramos 
transmitir el número 523, primero 
transmitiríamos 5 voltios, luego 2 voltios, y 
por último 3 voltios. 


En la imagen podemos 


ver la transmisión del 


número 523 por una 
línea analógica. En el eje 
X (el horizontal) se 


representa el tiempo, por 
ejemplo, en segundos, y 
en el eje Y (el vertical) 
se representa la tensión en voltios. 
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Número decimal 


Lógicamente, es necesario establecer un 
convenio entre el transmisor y el receptor 
para saber cuánto tiempo tiene que pasar 
entre la transmisión de cada cifra. Si no fuese 
así, imaginad lo que pasaría si tratásemos de 
transmitir el número 5551. Si la línea se 
mantiene en 5 voltios el tiempo necesario 
para transmitir las tres primeras cifras, ¿cómo 
podrá saber el receptor que en ese tiempo 
se han transmitido tres cincos, y no sólo uno, 
o doce? 


Por tanto, ha de existir un convenio previo 
entre emisor y receptor que diga "cada 
segundo se transmitirá una nueva cifra”. Por 
tanto, si pasado un segundo el voltaje no ha 
cambiado, significa que la siguiente cifra es 
igual a la anterior. 


Lo que hace la tecnología digital es explotar 
al máximo este tipo de “convenios”. Pero 
empecemos viendo el caso más simple de 
todos, que es igual al caso de la transmisión 
analógica. 


Imaginemos que queremos transmitir números 
pero que sólo puedan ser 0 o 1. En ese caso, 
la cosa funcionaría igual: a cada segundo una 
nueva cifra, y no hay más misterio. La 
diferencia sería que la tensión sólo podría 
tener dos valores: O o 1 voltios. 

La diferencia viene cuando queremos 
transmitir números más grandes, que es 
cuando hay que hacer “convenios raros”. 


En realidad, estos convenios tienen poco de 
raro, al menos para un matemático, ya que 
no es ninguna invención, si no simplemente 
una aplicación directa de las matemáticas. 
Concretamente, lo que se aplica es la 
aritmética binaria. 


Secuencia binaria 


Este “convenio” asigna 
una secuencia 


0000 


diferente para 
representar cada 


número decimal, que 
podemos ver en la 


0 
1 
2 
3 
4 
5 
6 
7 
8 
9 


tabla de la izquierda. 
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Por tanto, si queremos transmitir digitalmente 
el número 9, estos serán los voltajes que 
tendremos que poner en la línea: 


Es decir, primero 1 voltio 
durante un segundo, 
luego O voltios durante 
dos segundos y, por 
último, 1 voltio durante 
el último segundo. 


¿Cómo podemos entonces transmitir un 
número de dos cifras, como por ejemplo el 
12? 

Pues de nuevo hay que hacer otro convenio 
entre el emisor y el receptor y decir: “cada 
cifra decimal va a constar de 4 cifras binarias”. 
Por tanto, si transmitimos la secuencia: “0001 
0010” (ver la tabla anterior) estaremos 
transmitiendo el número 12, según el convenio 
preestablecido, tal y como vemos en la 
siguiente imagen. 


De esta manera, a base de acuerdos entre el 
transmisor y el receptor, podemos transmitir 
cualquier información, con sólo transmitir ceros 
y unos. 


¿Cuál es la ventaja de transmitir sólo dos 
valores en lugar de variar el voltaje en función 
del valor que se desea transmitir? Pues son 
varias las ventajas, pero la más obvia es la 
gran fiabilidad de la transmisión. 


Imaginemos que nuestro cable lo hemos 
comprado en el Todo a 100 y falla más que 
una escopeta de feria. Pretendemos transmitir 
5 voltios y, en cambio, unas veces el cable 
transmite 4 voltios, otras veces 3,5, otras 
veces 2... 


Estos fallos del cable serían críticos en una 
transmisión analógica, ya que el voltaje se 
traduce directamente en la información que 
transmitimos. En cambio, la transmisión digital 
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nos permite unos márgenes de error muy 
grandes. Al fin y al cabo, transmitir ceros y 
unos se limita tan sólo a diferenciar “no hay 
electricidad en el cable” de “sí hay electricidad 
en el cable”. 


Por tanto, podemos decir por ejemplo: "sí 
hay menos de un voltio en el cable, 
consideramos que es un cero. Si hay más de 
un voltio, consideramos que es un uno”. Así, 
todos esos fallos del cable de Todo a 100 no 
afectarían a la transmisión digital, ya que 
incluso 2 voltios seguiría siendo considerado 
como “sí hay electricidad en el cable” y, por 
tanto, sería considerado como un 1. 


Son muchas otras las ventajas de lo digital 
frente a lo analógico, como la mayor facilidad 
a la hora de almacenar y procesar la 
información, pero esas ventajas no se deducen 
de lo explicado hasta ahora, por lo que no 
entraremos ahora en más detalle. De 
momento, la idea con la que nos tenemos 
que quedar es con que a la hora de transmitir 
información, la transmisión digital tiene una 
mayor inmunidad al ruido y, en general, a 
cualquier error, que la transmisión analógica. 


Por supuesto, nada de lo explicado hasta 
ahora es en la práctica tal y como lo he 
contado (para aquellos que sepan de qué va 
el tema y estén flipando), pero mi intención 
no es escribir un RFC sobre transmisión 
analógica vs. transmisión digital, si no tan 
sólo explicar conceptos, aunque tenga que 
ser faltando a la realidad en muchas 
ocasiones. Lo importante es que comprendáis 
los conceptos que subyacen a una transmisión 
de datos digitales, como es el caso de TCP/TP. 


Para los más quisquillosos que sigan 
insistiendo en que las cosas no son así, y que 
realmente incluso las transmisiones digitales 
circulan de forma analógica, insisto en que 
no estoy tratando de explicar el nivel físico 
(cosa que ya haré dentro de unos cuantos 
artículos, y donde todo esto quedará 
finalmente aclarado), si no tan sólo 
abstraerme de los detalles para explicar los 
conceptos básicos. Y 


¿Y si el mundo... 


¿Y si el mundo fuese distinto? 

Muchas personas, cuando les dices que el mundo informático 
funciona con CEROS y UNOS, nunca llegan a entenderlo. Con 
lo sencillo que sería trabajar con el sistema decimal 
(0,1,2,3,4,5,6,7,8,9) e incluso con letras. 


Acabamos de descubrir que aplicar el sistema decimal supondría 
10 niveles de voltaje en un cable eléctrico, algo técnicamente 
posible pero MUY CARO. Como ya hemos dicho los cables 
deberían ser muy buenos y los dispositivos que detectasen los 
cambios de voltaje deberían ser muy precisos. Pero esto es 
hablando del mundo analógico... si nos vamos al digital la cosa 


se pone interesante. 


Hemos dicho que en el MUNDO DIGITAL solo hay dos estados, 
es decir, "unos" (abierto, con electricidad, iluminado) y ceros 
(cerrado, sin electricidad, apagado). Pero ¿por qué? ¿por qué el 
hombre ha decidido que el mundo digital solo tenga dos estados 
en lugar de 10? 


Muy sencillo, POR DINERO!!! ¿Cómo? ¿qué?... ... En el diminuto 
universo que conocemos, nuestro planeta, es muy sencillo (y 
barato) encontrar sustancias que sean capaces de tener dos estados 
claramente diferenciados, que puedan ser capaces de pasar de un 
estado a otro muy rápidamente, que lo hagan de forma barata y 
para colmo que sea muy fácil detectar esos estados. 


Al igual que una bombilla puede estar encendida o apagada y 
todos podemos percibirlo mirándola (luz/oscuridad) o tocándola 
(calor/frío), en el caso de la informática EL DIOS ES EL SILICIO. 
Simplificando mucho el tema, podemos decir el silicio deja pasar 
la electricidad o no (ceros y unos), lo hace rapidisimamente (todos 
queremos tener un PC ultrarrápido) y detectar el estado ("cargado" 
o "descargado") es tecnológicamente sencillo y por lo tanto barato. 


¿Y si el mundo fuese distinto? 

Imagina otro elemento, por ejemplo el agua. Todos conocemos 
tres de sus estados, el sólido, el líquido y el gaseoso... si el agua 
se pareciese al silicio (si fuese sencillo pasar de un estado a otro, 
lo hiciese a la velocidad del rayo y fuese sencillo detectar esos 
cambios de estado)... nuestro ordenador estaría basado en un 
procesador de agua y, en ese caso... sería MUCHO más potente 
y rápido que los que ahora tenemos basados en silicio. 


¿Qué? ¿Cómo? Sí, porque tendríamos un sistema de TRES 
estados (apagado -hielo-, neutro -líquido- y encendido -gaseoso-) 
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en lugar de DOS estados (apagado/encendido). Eso significa que 
en lugar del código BINARIO utilizaríamos el código TRINÁRIO 
(el nombre me lo acabo de inventar). Al haber tres estados en 
lugar de dos podríamos crear convenios mucho más optimizados, 
es decir, transmitir información de forma mucho más optimizada 


y por lo tanto mucho más rápida. 


Deja volar tu imaginación... si un buen día alguien encuentra (o 
fabrica, o trae de otra galaxia) un material parecido al silicio pero 
que pudiese tener 600 estados en lugar de dos... bufff... el mundo 


informático daría un salto astronómico en velocidad de cálculo. 


los ordenadores personales, llamamos byte. 
Un byte es simplemente una palabra de 8 bits, 
es decir, de 8 cifras binarias (cero o uno). Si 
quisiéramos representar los números decimales 
con un byte, ésta podría ser la tabla 
correspondiente: 


E 0000009 


00000100 


Para la humanidad sería comparable al paso de la edad de Piedra 


a la edad de Hierro. 


Actualmente, a falta de materiales nuevos los científicos intentan 


utilizar elementos conocidos pero difíciles de "controlar". Unos 


basados en dos estados y otros en multiestados... por ejemplo 


los átomos. . . 
Vamos al fin a ver algo directamente 


relacionado con TCP. Volvamos al último artículo 
de la revista, y repasemos la cabecera TCP. 
Por si no lo tenéis a mano, aquí os la vuelvo 
a mostrar. 


Numero de Secuencia 


Numero de confirmacion 
0 34 9101112131415 


AJP|RIS 
C]S|s [Y 
K|AITIN 


Al final, la orgullosa humanidad depende de los materiales que 


su "humilde" entorno proporciona. 


2.- Codificación binaria. 


Llegados a este punto, posiblemente ya 
habréis perdido un poco de miedo a eso de 
los ceros y los unos. Lo que nos queda por 
ver es cómo se codifica realmente la 
información en binario (utilizando tan sólo 
ceros y unos), es decir, cuáles son los 
“convenios” reales de los que hemos hablado, 
que permiten que un transmisor y un receptor 
se puedan entender. 


Comienzo 


de datos Ventana 


Puntero de Urgencia 
DATOS 


Suma de Comprobacion 


Es aquí donde entra el concepto fundamental 


de palabra (word). La forma en que se 
representa la información depende del tamaño 
de la palabra utilizada. En el ejemplo anterior, 
donde representábamos cada número decimal 
con 4 cifras binarias, es decir, con 4 bits (bit 
es simplemente el nombre dado a una cifra 
binaria, es decir, un número que sólo puede 
ser un cero o un uno), teníamos una palabra 
de 4 bits para representar los números 
decimales. 


La palabra más comúnmente utilizada en 
informática es el octeto que, en el caso de 
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Como vemos, en la cabecera TCP se manejan 
distintos tamaños de palabra. En primer lugar, 
para los campos puerto origen y puerto 
destino contamos con 16 bits, después, para 
los números de secuencia y de 
confirmación tenemos 32 bits, 4 bits para 
el campo comienzo de datos, 1 bit para cada 
uno de los flags, etc. 


Para saber cuántos valores se pueden 
representar con cada tamaño de palabra, basta 
con hacer la potencia de 2 con el tamaño 
de la palabra en bits. Es decir, con una 
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palabra de 4 bits podemos representar ao = 
16 valores diferentes, con una palabra de 8 
bits 28 = 256 valores, con 16 bits 27” = 
65536, etc. 


Ahora podéis comprender por qué todo lo 
relacionado con la tecnología digital sigue 
siempre estos números. La memoria RAM que 
compras para el PC, las tarjetas de memoria 
para la cámara digital, la velocidad del ADSL, 
siempre son los mismos números; 8, 16, 32, 
64, 128, 256, 512, 1024, 2048... Todos esos 
números son las diferentes potencias de 2. 


El caso más sencillo es el de 1 único bit, 
donde tenemos 3: = 2, es decir, se pueden 
representar sólo 2 valores con 1 bit. Estos 2 
valores son, por supuesto: cero, y uno. 


En el caso, por ejemplo, de 3 bits, tenemos 
23 = 8 valores diferentes, que son todas las 
posibles combinaciones de 3 cifras, donde 
cada cifra puede ser un uno o un cero, tal y 


como vemos en la tabla. 


Como vemos, no 


a 
osibles 

e e ene E 
010 combinaciones de 
O 
CAME IESO ISA | ARS cad 
sólo los números 

del O al 7. 


Como ya dije antes, para un matemático estos 
convenios para representar los números 
decimales mediante cifras binarias no son 
ningún misterio, ya que basta con aplicar las 
bases de la aritmética modular. 


Voy a tratar de explicar rápidamente en qué 
consisten estas fórmulas porque, aunque al 
principio os puedan parecer complicadas, en 
realidad son realmente sencillas y, como todo, 
es sólo cuestión de práctica el aplicarlas de 
forma natural. 
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2.1. Pasando de binario a 
decimal 


Vamos a ver en primer lugar cómo traducir 
una secuencia de ceros y unos en algo 
comprensible para nuestras mentes decimales. 


En la base decimal, que es la que nosotros 
utilizamos, llamamos a cada cifra de una 
manera diferente según el orden que ocupa: 
unidades, decenas, centenas, etc. Como nos 
explicaron en los primeros años del cole, para 
calcular un número a partir de su 
representación decimal, tenemos que sumar 
las unidades a las decenas multiplicadas por 
diez, las centenas multiplicadas por 100, etc., 
etc. Es decir: 534 = 5* 100+3*10+4*1, 


En realidad, 100 es una potencia de 10 (10? 
= 100). Y por supuesto 10 también es una 
potencia de 10 (10” = 10). pero también el 
1 lo es, ya que 1 es potencia de cualquier 
número, pues X” = 1, donde en este caso, es 
X = 10, es decir, 10 elevado a cero es uno. 


Por tanto, el número 534 se puede representar 
como: 534 = 5*10? + 3x*10* + 4x*100, 


Esta regla se puede aplicar a cualquier otra 
base que no sea 10. Volvamos a la tabla 
anterior, y veremos que el número 7 se 
representa como 111 en base 2. 


Si aplicamos la fórmula anterior, pero en este 
caso utilizando base 2, tendremos: 
1* 22 + 1x21 4 1,20 = 7, En efecto, se 
cumple, ya que 2? = 4, 21 - 2,y2 =1, 
luego: 1%4 + 1*2 + 1*1 =7, 


Con esta sencilla fórmula de las potencias de 
2 se puede convertir cualquier número binario 
a su equivalente en decimal. Por ejemplo, 
vamos a traducir a decimal el número 
10011010. 


Empezamos aplicando la fórmula: 1x2? + 
0x2 + 0%25 + 12% 4 123 4 0x2? + 1121 
+ 0x20. Ahora, sabiendo los valores de cada 
potencia de dos (cualquier geek que se precie 
tiene que conocer como mínimo todas las 
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potencias de 2 con exponentes de O a 16), 
podemos traducir esa fórmula en: 1*128 + 
0*64 + 0*32 + 1*16 + 1*8 + 0%4 + 1*2 + 
0*1. Es decir, nos queda la siguiente suma: 
128 + 16 + 8 + 2 = 154. Por tanto, el número 
binario 10011010 representa al número 154 
en decimal. 


Por si queréis practicar, os dejo como ejercicio 
algunos números más, con su traducción, 
para que lo comprobéis vosotros mismos: 


10110101 = 181 
00111100 = 60 
111010001010101010100101 = 15248037 


2.2. Pasando de decimal a 


binario. 


Aquí la cosa ya se pone más chunga. Aun así, 
juraría que esto ya lo expliqué en alguno de 
mis artículos. 


Hay varios trucos para convertir de decimal 
a binario. El más sencillo, por supuesto, es 
meter el número en la calculadora de windows, 
y luego pinchar en donde pone BIN para que 


lo pase automáticamente, jeje. Y 


mí Calculadora 
Edición Wer Ayuda 


| 61547, 


[s Hex (4 Dec E Det (* Grados UC Radianes Gradianes | 


Tre Hyp Retroceso Borrar Borrar todo 
22] ponla 


Para que a nadie se le ocurra enviar un mail diciendo que la 
calculadora de Windows no puede hacer eso, venga, lo explicamos 
muy rápido. Abre la calculadora, Menu Ver y pulsa sobre Científica. 
Ya está Y 

Ahora introduce cualquier número y pulsa sobre Bin *% 
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Pero nosotros no nos conformamos con hacer 
las cosas, si no que nuestro auténtico interés 
es el saber cómo se hacen. Así que os explico 
rápidamente un algoritmo para convertir 
cualquier número decimal a binario. 


Usemos para el ejemplo el número 137. 


El proceso a seguir será ir dividiendo el 
número (en este caso 137) por 2 y, en cada 
división, quedarnos con el resto de la división 
(que sólo podrá ser cero o uno). Ahora te 
quedará claro. 


El resultado de la primera 
división (llamado cociente, en 
verde) es 68, y el resto (en 
rojo) es 1. Este 1 será el bit 
menos significativo, es decir, la cifra binaria 
que está a la derecha del todo. 


Continuamos el proceso con el nuevo cociente 
que hemos obtenido: 


Ahora hemos obtenido un O, 
que será la siguiente cifra 
binaria. Continuamos el proceso 


con resto 0. 


ya que el bit más signifi 
hay más alla izquie 
es decir 2/2 = 1 


ecir, el que 
o cociente, 


Por tanto, lel núm 
quedará: 


Si tienes... 


S1 tienes interés en avanzar por tu cuanta en cálculo binario, hay 
miles de páginas en Internet que te lo explican perfectamente y 
por supuesto de forma gratuita. Busca en www.google.com y 


avanza tanto como quieras Y 
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Construyendo un paquete TCP 
desde cero. 


Ya podemos ponernos manos a la obra con el 
tema que nos ocupa, que son los paquetes 
TCP. Vamos a recordar la cabecera TCP (volved 
atrás un poco para ver la imagen), y a ir 
campo por campo construyendo el paquete. 


Vamos a poner como ejemplo, el primer 
paquete que se envía cuando queremos 
establecer una conexión con un servidor de 
FTP. 


En primer lugar, tenemos que conocer los 
puertos de origen y de destino (los dos 
primeros campos de la cabecera TCP). El 
puerto de destino será el 21, que es el 
asignado por el estándar al servicio de FTP 
(aunque bien sabréis muchos de vosotros que 
no siempre se usa este puerto, como en el 
caso de los dumps, donde se suelen usar otros 
puertos menos “sospechosos”). 


El puerto de origen será un puerto aleatorio 
asignado por el sistema operativo a la hora 
de abrir el socket, es decir, la estructura 
utilizada por el sistema para establecer la 
nueva conexión TCP/IP. Supongamos que el 
sistema nos ha asignado el puerto 1345 como 
puerto de origen. 


Ya tenemos los datos necesarios para rellenar 
la primera fila de la cabecera TCP. 
En primer lugar, tenemos que convertir el 
número 1345 en su equivalente binario, y lo 
mismo con el número 21. 


Aplicando el algoritmo explicado en el punto 
anterior, obtenemos: 

1345 = 10101000001 

21 = 10101 


Para construir la primera fila de la cabecera 
TCP tenemos que concatenar el puerto origen 
con el puerto destino, por lo que quedaría: 
10101000001 10101. 


Tenemos, por tanto, que nuestra primera fila 
consta de 16 bits... pero... no puede ser, si 
habíamos quedado en que cada fila de la 
cabecera TCP eran 32 bits. 


El problema es que no hemos ajustado cada 
campo a su tamaño de palabra. El tamaño 
de palabra de cada uno de estos dos campos 
es de 16 bits, por lo que cada uno de los dos 
números obtenidos tiene que ser representado 
con 16 cifras binarias. Para ello, habrá que 
poner el suficiente número de ceros a la 
izquierda, para rellenar las 16 cifras. Así, nos 


quedará: 
1345 = 0000010101000001 
21 = 0000000000010101 


Ahora ya si que podemos concatenar ambos 
para conseguir la primera fila de la cabecera: 


00000101010000010000000000010101 


Como experimento, probad a convertir este 
número en su equivalente decimal. El resultado 
es 88145941. ¿Y qué nos dice este número? 
Pues absolutamente nada, ya que lo importante 
a la hora de traducir un número de una base 
a otra no es sólo la secuencia de cifras, si no 
también el cómo se agrupen estas. Si 
agrupamos esta secuencia en grupos de 16, 
entonces si que tendrá un sentido, pero si la 
agrupamos en una única secuencia de 32 bits, 
el número resultante no tiene ningún interés 
para nosotros. Por tanto, es absolutamente 
imprescindible conocer el tamaño de las 
palabras. 


Vamos ahora con la segunda fila de la cabecera. 
Como vemos, ahora nos toca el campo 
número de secuencia. Este número también 
será asignado por el sistema operativo 
(recordemos del artículo anterior que no 
conviene que sea O cada vez que se establece 
una nueva conexión). En nuestro ejemplo el 
sistema nos asignará el número 21423994, 
Lo convertimos a binario, y nos da el número: 
1010001101110011101111010. 


Este número es de 25 bits, por lo que habrá 
que poner 7 ceros a su izquierda, para 
completar los 32 bits de la palabra que 
corresponde a este campo. Por tanto, la 
segunda fila de nuestra cabecera TCP será: 


00000001010001101110011101111010 
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En este caso, el número completo de 32 cifras 
sí que tiene significado para nosotros, ya que 
el tamaño de la palabra es precisamente de 
32 bits. 


La tercera fila corresponde al campo número 
de confirmación. En nuestro caso tiene que 
ser cero, ya que es una conexión que aún no 
se ha establecido, por lo que el primer paquete 
no llevará confirmación de otro paquete 
anterior. Para representar el O con 32 bits, 
basta con meter 32 ceros. % 


00000000000000000000000000000000 


Ahora nos toca el campo comienzo de datos. 
Como ya vimos, el valor más habitual para 
este campo es 5, en el caso de que no haya 
ninguna opción. Pero nosotros vamos a incluir 
una opción, que ocupará 32 bits, como 
veremos más adelante. Como el campo 
Comienzo de datos indica el número de 
palabras de 32 bits que ocupa la cabecera 
TCP, al tener una palabra más para la opción, 
tendrá que ser 6, es decir: 110. Como el 
campo tiene una palabra de 4 bits, añadimos 
un cero a la izquierda: 0110, 


A continuación, la cabecera TCP tiene un 
campo vacío de 6 bits, que hay que rellenar 
con ceros: 000000. Por tanto, de momento 
esta fila de la cabecera nos va quedando: 
0110000000. 


Ahora le toca el turno a los flags. Como vimos 
en el artículo anterior, siempre que se desee 
establecer una nueva conexión el paquete ha 
de tener activado su flag SYN. El resto de 
flags estarán desactivados. Es decir, éste será 
el valor que tomarán todos los flags: 


URG =0 
ACKk =0 
PSH =0 
RST=0 
SYN = 1 
FIN =0 


Si los colocamos todos juntitos en su orden 
nos quedará: 000010. 
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Esto habrá que concatenarlo a lo que 
llevábamos ya construido de esta fila, por lo 
que nos quedaría: O0110000000000010 


Vamos ahora con el campo tamaño de la 
ventana. Un valor típico es, por ejemplo, 
8192. Este número es una potencia de 2, 
concretamente 213, Por tanto, la traducción 
a binario es instantánea. Basta con poner 13 
ceros a la derecha, y poner un único 1 a la 
izquierda del todo: 10000000000000. Esto 
nos da un número de 14 cifras, por lo que 
tenemos que ajustarlo al tamaño de la palabra 
de 16 bits con dos ceros a la izquierda: 
0010000000000000. 


Por tanto, finalmente, la cuarta fila de la 
cabecera TCP nos quedará: 


01100000000000100010000000000000 


El próximo campo es el campo suma de 
comprobación, y es el que más quebraderos 
de cabeza nos va a dar. Si habéis seguido el 
resto del curso, habréis visto que hasta ahora 
he “eludido” un poco el tema, dándoos sólo 
una URL donde teníais un código en C ya 
hecho para calcular automáticamente los 
checksums (sumas de comprobación). Si lo 
hice así hasta ahora era porque sabía que más 
adelante llegaría el momento de enfrentarse 
cara a cara con los checksums, y ese 


momento ya ha llegado. + 


Quizá os estaréis preguntando, ¿y por qué 
hay que enfrentarse al checksum si tenemos 
ya un código que nos lo calcula? ¿Para qué 
sirven todas estas vueltas y revueltas que 
estoy dando a los paquetes TCP cuando 
bastaría con conocer lo necesario para poder 
manejarlos? 


Creo que es importante que hablemos aquí 
acerca del significado original de la palabra 
HACK, que forma parte del nombre de esta 
revista, y que justifica el hecho de que 
profundicemos hasta el más mínimo detalle 
en lo que explicamos. 
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El término Hacker ha sido muy desvirtuado 
con el paso del tiempo. Originalmente, un 
hacker era una persona cuya pasión era 
conocer el funcionamiento de las cosas. Para 
las personas “normales” una máquina es sólo 
una herramienta que se utiliza para algún fin 
concreto. En cambio, un hacker no se 
conforma sólo con usar las máquinas, si no 
que además ansía conocer su funcionamiento 
interno. 


Hace años, se llamaba hackers a los grandes 
programadores, a los gurús de cualquier 
campo de la informática, y a toda esa clase 
de chiflados (a los cuales aspiro 
orgullosamente a pertenecer). Posteriormente, 
los medios de comunicación tergiversaron 
todo, y dieron a la palabra hacker el significado 
que antiguamente tenía la palabra cracker, y 
después estos términos han seguido 
evolucionando hasta el punto actual, en el 
cual hay mil y una definiciones para cada uno 
de los términos. 


La cuestión es que si realmente queréis ser 
hackers, de los de toda la vida, vuestra pasión 
debe ser conocer hasta el mínimo detalle de 
cómo funcionan las cosas, y no sólo saber 
“manejarlas” sin más. Un tío que dedique a 
entrar en sitios donde teóricamente le estaba 
prohibido el paso, será un hacker sólo si su 
motivación para hacerlo sea explorar el 
funcionamiento de los sistemas, en caso 
contrario, su calificativo más apropiado será 
lamer, script kiddie, o el que más os guste. Y 


Pero bueno, ya he vuelto a salirme del tema... 
estábamos con el checksum. Pues me temo 
que de momento tenemos que dejar este 
punto en blanco, porque para calcular el 
checksum tenemos que tener terminada el 
resto de la cabecera, así que vamos a ver 
antes el resto de campos, y luego volvemos 
atrás sobre este punto. 


El siguiente campo es el puntero de 
urgencia. Como el flag URG no está activo, 
este campo puede ser 0. Como son 16 bits, 
tendremos aquí: 0000000000000000. 


E 


Por último, tenemos el campo DATOS. Como 
el paquete es sólo para establecer una 
conexión, no habrá ningún dato, por lo que 
este campo estará en blanco (ya no con ceros, 
si no que directamente no habrá nada). 


Pero... ¡un momento! ¡Si habíamos dicho que 
íbamos a meter una opción! Entonces el campo 
DATOS no será el último, si no que tendremos 
antes el campo de opciones TCP. Para el 
caso nos va a dar igual, porque al fin y al cabo 
no hay campo de DATOS, así que en cualquier 
caso el campo opciones iría inmediatamente 
después del campo puntero de urgencia. 


La opción que vamos a incluir es la única 
definida en el RFC de TCP, aunque ya vimos 
que existen muchas más: Maximum 
Segment Size (MSS). 


Todas las opciones empiezan con un byte que 
indica el tipo de opción. En nuestro caso, el 
código para la opción MSS es el 2, es decir: 
00000010. 


En el caso de la opción MSS, el siguiente byte 
contendrá la longitud en bytes de la opción 
que, contando con los dos primeros bytes que 
ya hemos mencionado (el que indica el código, 
y el que indica la longitud) será siempre 4. 
Por tanto, el segundo byte de la opción MSS 
será siempre fijo: 00000100. 


Por último, los otros dos bytes que completarían 
la fila de 32 bits serán los que contengan el 
dato que queremos transmitir: el tamaño 
máximo de segmento. Si, por ejemplo, 
queremos un tamaño máximo de segmento 
de 1460 bytes, codificaremos este valor en 
16 bits: 0O00010110110100. 


Por tanto, toda la fila de 32 bits para la 


opción MSS nos quedaría: 
000000100000010000000101i0110100. 
Calculando la suma de 


comprobación (checksum). 


Ya podemos volver atrás un poco y calcular 
el último campo que nos falta para completar 
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la cabecera TCP de nuestro paquete. 
El primer paso a seguir es coger todo lo que 
tenemos hasta ahora, y agruparlo en palabras 
de 16 bits. Es decir, partimos de todos estos 
chorizos binarios: 

0000 0101 0100 0001 = puerto de origen 

0000 0000 0001 0101 = puerto de destino 

0000 0001 0100 0110 = primeros 16 bits del número de secuencia 

1110 0111 0111 1010 = últimos 16 bits del número de secuencia 

0000 0000 0000 0000 = primeros 16 bits del número de confirmación 

0000 0000 0000 0000 = últimos 16 bits del número de confirmación 

0110 0000 0000 0010 = comienzo de datos, y flags 

0010 0000 0000 0000 = tamaño de la ventana 

0000 0000 0000 0000 = puntero de urgencia 

0000 0010 0000 0100 = código y longitud de la opción MSS 

0000 0101 1011 0100 = opción MSS 


Por si todas estas ristras de ceros y unos os 
parecen pocas, todavía tenemos que añadir 
unas cuantas más, y es aquí cuando entra en 
juego esa pequeña cabecera de la que os 
hablé que se utilizaba a la hora de calcular 
el checksum. 


Recordemos esta cabecera: 


Dirección IP origen 
Dirección IP destino 


0 31 


31 


En primer lugar, necesitamos la IP de origen. 
Supongamos que tenemos un router ADSL 
que nos conecta con Internet, por lo que 
nuestra IP será una IP de red local, como por 
ejemplo: 192.168.1.1. 


Si, por ejemplo, el FTP al que conectamos es 
el de Rediris (ftp.rediris.es) sabemos que su 
IP es 130.206.1.5. 


El número de protocolo asignado a TCP es 
el 6. 


Por último, el tamaño del paquete TCP 
lo calculamos contando todos los bytes que 
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hay en la cabecera TCP, y todos los bytes 
de DATOS. Como en nuestro paquete no hay 
datos, bastará con contar los bytes (grupos 
de 8 bits) que ocupa la cabecera. Cada fila de 
la cabecera son 4 bytes (32 / 8 = 4), y tenemos 
un total de 6 filas, por lo que el tamaño de 
paquete será de 6 * 4 = 24. 


Ahora tenemos que pasar todo esto a binario: 


Lo que hay que hacer ahora con todos estos 
chorizos binarios es simplemente sumarlos 
(de ahí el nombre de “suma” de comprobación). 
El problema es que, si no tenéis práctica, 
sumar en binario os puede resultar complicado. 
Sería ya demasiado explicaros ahora toda la 
aritmética binaria, así que eso os lo dejo como 
ejercicio para que lo estudiéis por vuestra 


cuenta (www.google.com o utiliza la 
calculadora de Windows). 


Lo que voy a hacer yo es pasar todo esto a 
hexadecimal para manejar menos cifras 
engorrosas. Lo que me queda al final es todo 
esto: 


COA8 + 0101 + 82CE + 0105 + 0006 + 
0018 = 1459A 


Este primer resultado es la suma de toda la 
pseudocabecera de checksum que acabamos 
de calcular. Ahora hay que hacer otra suma, 
pero con todos los chorizos que sacamos antes, 
de la propia cabecera TCP: 


0541 + 0015 + 0146 + E77A + 0000 + 
0000 + 6002 + 2000 + 0000 + 0204 + 
05B4 = 175DO0. 


Ahora sólo tenemos dos números, que 
tendremos que sumar a su vez: 
1459A + 175DO = 2BB6A 


Este no es todavía el resultado, entre otros 
motivos porque el checksum ha de ocupar 


IP de origen = 1100 0000 . 1010 1000 . 0000 0001 . 0000 0001 
IP de destino = 1000 0010. 1100 1110.0000 0001 . 0000 0101 
Protocolo = 0000000000000110 

Tamaño de paquete = 0000000000011000 
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sólo 16 bits, y un número hexadecimal de ¿Que cómo he hecho todas esas sumas en 
5 cifras, como el 2BB6A, ocupa 20 bits. Por hexadecimal? Pues, por supuesto, no de 
tanto, lo que hacemos es coger la primera cabeza, si no usando una calculadora científica 


cifra (el 2) y sumarla al resto: que admita hexadecimal. Y 


BB6A + 2 = BB6C - > 


Elle Edit Capture Display Tools 


Info 


Ya te n e m lo) S co m p | eta d a | a 3 0,000000 192,168,2,2 193,152.63, 197 Standard query AAAA ftp.rediris,es 

a y 0,132612 193,152,63,197 192,168,2,2 Standard query response CNAME zeppo.rediris.es 
operación conocida como suma 133365 192,168,2,2 .152,63,197 Standard query A fierredicis.e 
en complemento a uno. 


2 
3 
4 
5 


0, d 
0,204475 193,152,63,197 ,168,2,2 Standard query re; gtkcalc 
0,205146 192,168,2,2 193,152,63,197 Standard query PTI 

97 


5 
32797 [SWN, 

32797 > Ftp [ACK] 

Response; 220-=(« ll 


3 0346403 192.188, 
. 32797 > ftp [ACK] hex oct || bm 


2,2 

r 10 0,470268 130,206,1,5 

Ahora sólo nos falta sacar a su || 1 0.4709 192.160.202 
12 2,022704 192,168,2,2 EM 32797 > ftp [FIN, x* oB asinD acosE 

13 2,089036 130,206,1.5 .168,2., ftp > 32797 [Ack] tn cos 
1.5 
2,2 
1,5 


vez el com plemento a uno 14 2.097214 130.206. Response; 220 Log| 


> ] 15 2,097272 192,188,, A 32797 > ftp [RST] 1208 Li PRE 
de éste número, es decir, Ml Pass a z ! 
invertir todos los bits (donde (Ema ao, des amamos 
h El Internet Protoci a 2,2 (192,168,2.2; 
aya un uno, poner un cero, y Source port; 32797 (32797) 
viceversa). Si pasamos este Semanas Tuner RETA, 


a A A Header length: 40 bytes 
E Flags: 0x0002 (SYN) 

número (BB6C) a binario ps Come 

Checksum: Oxbe76 (correct) 


tenemos: 1011 1011 0110 || Botione: (20 tute) 


1100. 

Si invertimos cada bit nos 1 cs se A 

queda: ! 

0100 0100 1001 0011 Filter] [v] [Reset Apply| Transmission Control Protocol (tcp), 40 bytes 


Este número de 16 bits es al ¡GI d aranceles [0/7 0)211)91 00 1 LE 7 [esca] O: ca: | De)» | 


fin lo que tenemos que poner 

en el campo que nos quedaba por rellenar: En esta captura podemos verme en plena 

la suma de comprobación. faena, calculando el checksum de un paquete 
capturado con un sniffer. El sniffer me da 

Repasamos por tanto todo lo visto acerca de directamente el paquete en hexadecimal, por 

la suma de comprobación: lo que me facilita los cálculos. 


1- Agrupamos toda la cabecera TCP” — ¿Y cuál es la utilidad de todas estas 
en grupos de 16 bits, y sumamos operaciones? 


todos esos grupos entre sí. Pues para comprenderlo necesitáis saber que 
2 - A continuación, construimos la el complemento a uno de un número es el 
pseudocabecera con las ips de origen opuesto de ese número en complemento a 
y de destino, el protocolo, y el tamaño uno, es decir, si sumas en complemento a uno 
de paquete, y agrupamos todo esto un número cualquiera y su complemento a 
también en grupos de 16 bits. uno, el resultado tiene que ser siempre cero. 
3 - Sumamos estos nuevos grupos al Vamos, en resumen, que es como decir que 
resultado obtenido en el primer paso. -5 es el complemento a uno de 5, ya que 5 + 


4- Del número obtenido en el paso 3, (-5) = 0. 

nos quedamos sólo con los 16 últimos 

bits, y los sobrantes los sumamos Esto hace que el procesamiento de los paquetes 
a estos 16, quedándonos así un sea bastante rápido a la hora de verificar los 
resultado de 16 bits. checksum, ya que basta con que el software 
5- El resultado del cuarto paso, lo sume todos los datos del paquete y, si el 
invertimos, cambiando cada cero por paquete es correcto, el resultado tiene que 
un uno, y viceversa. ser 0. 
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Esto es lógico, ya que la suma que nosotros 
hemos hecho hace un momento contenía 
todos los datos del paquete excepto uno: la 
propia suma de comprobación. El paquete 
que llegue al receptor, en cambio, si que 
contendrá además ese dato, y como ese dato 
es precisamente el opuesto de la suma de 
todos los demás, al sumar todos los datos 
más la suma de comprobación, el resultado 
será: 


checksum + resto de cabecera = O 
Ya que, insisto: 
checksum = - (resto de cabecera). 


Os propongo como ejercicio que comprobéis 
todo esto con un sniffer. Capturad un paquete 
TCP, sumad todos los datos de la cabecera 
TCP, del campo DATOS, y de la 
pseudocabecera utilizada en el checksum, y 
comprobaréis que, si el paquete no contiene 
errores, el resultado es siempre cero. 


Resumiendo 


Al final, este es el paquete que nos queda, y 
que será enviado tal cual desde nuestro PC 
hasta el receptor (en este caso, el servidor 
FTP de Rediris): 


p000 0101 0100 0001 p000 0000 0001 0101 
p000 0001 0100 0110 111001110111 1010 
0000 0000 0000 0000 0000 0000 0000 0000 


0110 000000 q q 01 q 1190010 0000 0000 0000 
6100 0100 1001 0011 0000 0000 0000 0000 
p000 0010 p000 0100 p000 0101 1011 0100 


4. La respuesta a nuestro paquete 


Al recibir este paquete el servidor FTP de 
Rediris, nos responderá con el siguiente 
paquete, que os muestro como ejercicio para 
que lo analicemos: 


p000 0000 0001 0101 p000 0101 0100 0001 
p010 0111 1001 0010 1000 0000 0101 0011 


p000 0001 0100 0110 11100111 0111 1011 
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Vamos a analizarlo: 


En primer lugar, los puertos de destino y 
de origen están intercambiados, como es 
lógico. 


En segundo lugar, vemos que el número de 
secuencia no tiene nada que ver con el 
nuestro, ya que cada extremo de la 
comunicación usará sus propios números de 
secuencia. 


En cambio, el que sí que tiene que ver con 
nuestro número de secuencia es su número 
de confirmación. Al no contener datos 
nuestro paquete, el próximo byte que 
enviaríamos sería el inmediatamente posterior 
al número de secuencia de nuestro paquete 
anterior. Por tanto, el servidor de Rediris estará 
esperando recibir en el próximo paquete un 
número de secuencia que sea el que enviamos 
antes, + 1. 


Vemos que su campo comienzo de datos es 
el mismo que el nuestro, ya que el paquete 
también contendrá una única fila de opciones 
(de 32 bits). 


Donde vemos que sí que hay un cambio es 
en los flags, ya que aquí no sólo está activado 
el flag SYN, si no también el flag ACK. En el 
próximo punto veremos en detalle a qué se 
debe esto. 


Vemos también que el tamaño de la ventana 
es diferente, ya que cada extremo de la 
comunicación puede tener su propio tamaño 
de ventana. 


La suma de comprobación, por supuesto, 
es diferente para cada paquete. Os propongo 
como ejercicio que comprobéis la validez de 
la suma de comprobación de este paquete y, 
en caso de que sea incorrecta, que calculéis 
cual sería el checksum correcto. 


El puntero de urgencia también está a cero, 
ya que tampoco tiene el flag URG activado. 


Por último, vemos que también añade la 
opción MSS, con el mismo tamaño máximo 
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de segmento: 1460 bytes. 


El paquete tampoco contiene nada en el 
campo DATOS, ya que es otro de los paquetes 
utilizado únicamente para establecer la 
conexión. 


5. Los estados de conexión TCP 


No podemos completar un curso sobre TCP 
sin hablar de los estados de conexión. Para 
ello, empezaremos viendo una serie de 
procedimientos que se llevan a cabo en las 
conexiones TCP, para luego enumerar los 
estados que hemos ido descubriendo. 


5.1. Establecimiento de conexión 
TCP. 


En el ejemplo anterior, los paquetes 
involucrados correspondían a un 
establecimiento de conexión. Como vimos, 
había por lo menos dos paquetes encargados 
de establecer la conexión: uno por nuestra 
parte, que le decía al servidor de Rediris que 
queríamos establecer la conexión, y otro por 
parte del servidor de Rediris que nos decía 
que estaba de acuerdo y él también quería 
establecer la conexión. 


En realidad, el establecimiento de conexión 
TCP requiere aún otro paquete más, y es lo 
que hace que a este sistema de 
establecimiento de conexión se le llame 3- 
way handshake o, traducido así a lo bruto: 
saludo de 3 pasos. 


El sistema de establecimiento de conexión 
TCP consiste en lo siguiente: 
1- El cliente solicita al servidor una 
conexión. 
2- El servidor responde aceptando la 
conexión. 
3- El cliente responde aceptando la 
conexión. 


¿A qué se debe la necesidad de este tercer 
paso? Este tercer paso permite una 
sincronización exacta entre cliente y servidor, 
y además permite al cliente “echarse atrás” 
si no le gusta algo en la respuesta del servidor. 


Por ejemplo, en el caso del servidor de Rediris, 
si habéis probado a conectaros habréis visto 
que nada más conectar envía un texto de 
presentación. Si nosotros no respondiésemos 
al servidor diciéndole que aceptamos la 
conexión, aún habiéndola solicitado nosotros, 
el servidor se pondría en vano a enviar todo 
ese texto sin saber si al otro lado hay alguien 
escuchando. 


Estos tres paquetes especiales utilizados en 
el 3-way handshake se caracterizan por sus 
flags: 


> El cliente solicita conexión al servidor: 


flag SYN. 

> El servidor acepta la conexión: flags 
SYN y ACK. 

> El cliente acepta la conexión: flag 
ACK. 


SYN, ACK 
ACK 


¡_xIA SO 


Servidor 


Esto ha de ser siempre así, y si alguno de 
esos flags no es enviado en el orden correcto, 
todo el establecimiento de conexión será 
anulado. 


Intuitivamente, nos damos cuenta de que todo 
este mecanismo nos da lugar a diferentes 
estados en la conexión: 


b En primer lugar, el estado primordial 
es el estado DESCONECTADO, que es 
cuando aún ni siquiera hemos enviado 
el SYN. 

b En segundo lugar, una vez enviado el 
SYN, estamos en un estado diferente 
que espera al próximo paso. A este paso 
lo podemos llamar SYN ENVIADO. 
b Una vez que el servidor recibe el 
primer SYN, nos enviará su respuesta 
con el SYN y el ACK en el mismo 
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Cliente 


paquete. En ese caso, pasaremos a un 
estado que podemos llamar SYN 
RECIBIDO. Ahora nos falta esperar al 
último paso del establecimiento, que 
es el último ACK. 

b Una vez recibido el último ACK, 
nuestra conexión pasará finalmente al 
estado de conexión ESTABLECIDA. 


DESCONECTADO ESCUCHANDO 


SYN 


SYN ENVIADO ——_—_—_———= 


SAS SYN RECIBIDO 
ACK 


ESTABLECIDA ——>_—=—]á]á]á<H 


estapLecioa Servidor 


Si alguna vez habéis utilizado la herramienta 
netstat posiblemente os suenen estos 
nombres. Si no, probad ahora mismo, desde 
una shell de Linux/Unix, o una ventana Ms- 
DOS de Windows, a escribir: 


netstat 


Veréis la lista de conexiones de vuestra 
máquina, con el estado de cada una. Las 
conexiones que estén en estado ESTABLECIDA, 
que son las más habituales, aparecerán como 
ESTABLISHED. 


Podréis ver otros estados como 
CLOSE_WAIT, FIN_WAIT, LISTEN, etc. 
En breve explicaremos todos ellos. 


Escaneo de puertos con SYN 


Os propongo como experimento que pongáis 
en marcha alguna aplicación de escaneo de 
puertos, y a continuación hagáis un netstat. 


Probablemente (dependiendo del tipo de 
escaneo que utilice la aplicación), veréis que 
hay montones de conexiones en estado 
SYN_SENT, es decir, lo que nosotros hemos 
llamado SYN ENVIADO. 


Esto se debe a que un sistema clásico de 
escaneo consiste en hacer solicitudes al 
servidor para establecer conexiones en cada 
uno de los puertos, es decir, enviamos un 
paquete SYN a cada puerto. Los paquetes 
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que tengan como respuesta un SYN, ACK 
corresponderán a los puertos abiertos de la 
máquina. Los paquetes que no tengan 
respuesta, o bien que sean respondidos con 
un flag RST, estarán cerrados. 


Lo interesante aquí es que nosotros no 
responderemos a ninguno de los SYN, ACK, 
por lo que ninguna conexión quedará 
establecida, ya que sería necesario que 
respondiésemos con un nuevo paquete ACK 
por cada paquete SYN que enviásemos. 


SYN puerto 19 


SYN —_SYNpuerto20_ 20 


—_SYNpuerto21 uerto 21 


Hd ACK puerto 21 
—_SYN puerto22__ uerto 22 


—_SYNpuerto23 uerto 23 
— a ACK puerto 23 


SYN puerto 24 


Ataque SYN Flood 


Ya que hemos empezado hablando de cosas 
divertidas, como el escaneo de puertos, vamos 
a rematar la faena hablando de una técnica 
de hacking realmente interesante, aunque 
más por el interés de su funcionamiento que 
por su utilidad práctica, ya que es un ataque 
de tipo DoS (Denial of Service), es decir, que 
sólo sirve para fastidiar y tirar abajo un servidor. 


¿Por qué hablamos de diferentes estados en 
una conexión? Pues porque es necesario tener 
en cuenta los diferentes estados a la hora de 
llevar a cabo todos los pasos necesarios para 
conseguir llevar a cabo la comunicación. 


Por ejemplo, en el momento en que pasamos 
al estado SYN_SENT, tenemos que crear una 
estructura de datos que necesitaremos para 
mantener controlado el estado de la conexión 
en todo momento. Sería absurdo tener estos 


Servidor 
FTP y Telnet 
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datos creados de antemano, ya que ocuparían 
una gran cantidad de memoria innecesaria y, 
además, tampoco podríamos saber cuántas 
estructuras de este tipo necesitaríamos, pues 
depende en todo momento de cuántas 
conexiones tengamos establecidas. Por tanto, 
al cambiar un sistema al estado SYN_SENT, 
creará una estructura de datos para mantener 
la conexión inminente. Esta estructura de 
datos se llama TCB (Transmision Control 
Block). 


Por tanto, cada vez que 
intentamos conectar con un 
servidor, estamos haciéndole 
crear una estructura que ocupa 
lugar en su memoria. En el 
momento en que se cierre esa 
conexión, el servidor podrá 
borrar el TCB correspondiente, 
recuperando así el espacio que 
había ocupado en su memoria. 


¿Qué pasaría entonces si 
saturásemos al servidor a base 
de conexiones? Si esta 
saturación es suficiente, conseguiremos dejar 
sin memoria al servidor para establecer nuevas 
conexiones. 


Cliente 
Legitimo 


Para que esta saturación sea efectiva, es 
conveniente que utilicemos direcciones IP 
falsas, es decir, que hagamos un IP Spoofing. 


Si conseguimos enviar al servidor una gran 
cantidad de paquetes, cada uno de ellos 
conteniendo un flag SYN solicitando una 
conexión, y cada uno con una dirección IP 
falsa, el servidor creará un TCB para cada 
una de esas conexiones falsas inminentes y, 
al mismo tiempo, enviará el SYN, ACK a cada 
una de las direcciones falsas. 


A continuación, se quedará esperando a recibir 
el ACK para completar el establecimiento de 
conexión de cada una de las conexiones falsas. 


Por supuesto, este ACK jamás llegará, y el 
servidor se quedará esperando hasta que se 
canse. Lo malo es que los servidores son 


SYN desde la IP 215.20.1.8 
A A 
SYN desde la IP 120.7.1.1 
A OA 


SYN desde la IP 105.12.1.5 
tdo dd 


Po SYN desde la IP 130.200.15.1 
— 
Atacante 


bastante pacientes, y suelen esperar en torno 
a unos 3 minutos antes de dar por perdida 
una conexión. Por tanto, si saturamos al 
servidor a base de SYNs, en unos 3 minutos 
nadie podrá conectarse legítimamente al 
servidor, ya que su memoria para nuevas 
conexiones estará llena en espera de completar 
las que tiene pendientes. 


Si este bombardeo de SYNs se repite 
constantemente, el servidor quedará inutilizado 
mientras dure el bombardeo. 


SYN, ACK a la IP 215.20.1.8 
A A A 
SYN, ACK a la IP 120.7.1.1 
SYN, ACK a la IP 105.12.1.5 
PO A a 


SYN, ACK a la IP 130.200.15.1 
Ad ia 
Servidor 


so» Victima 


¡jiMemoria Llenal! 


Si leísteis mi artículo de la serie RAW sobre 
el protocolo DNS, o mi artículo sobre UDP 
del curso de TCP/IP, conoceréis la técnica de 
envenenamiento de caché DNS. Cuando 
expliqué esta técnica mencioné que una ayuda 
para hacer más efectivo el ataque era conseguir 
hacer una denegación de servicio (DoS) al 
servidor DNS legítimo. 


En cambio, la técnica de SYN Flood no puede 
funcionar en UDP, ya que sencillamente UDP 
no tiene ningún flag, y menos aún el flag SYN, 
por lo que en este caso el utilizar UDP frente 
a TCP es una ventaja para el protocolo DNS. 


Más adelante veremos cómo llevar a cabo un 
ataque SYN Flood en detalle de forma práctica. + 


5.2. Cierre de conexión TCP 


Continuando con el asunto de los estados de 
conexión en TCP, vamos a ver otro 
procedimiento que se puede llevar a cabo con 
cualquier conexión, y es el cierre de la misma. 
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Si pensamos un poco, nos daremos cuenta 
de que hay un pequeño problema inherente 
a cualquier conexión full-duplex, es decir, 
las conexiones en las que cualquiera de las 
dos partes puede tanto transmitir como recibir. 
El problema es que, si ambos quieren 
transmitir datos, ambos tendrán que ponerse 
de acuerdo para decidir en qué momento hay 
que cerrar la conexión. 


Si no hubiese esta clase de acuerdos, ocurrirían 
cosas poco deseables, como por ejemplo que 
conectásemos con un FTP, solicitásemos un 
archivo, y tras enviárnoslo el servidor nos 
cerrase la conexión, asumiendo que ya no 
queremos bajar ni subir nada más. O, por 
ejemplo, conectarnos a un chat, decir “hola”, 
y que el servidor decidiese que ya no queremos 
decir nada más y, por tanto, nos cerrase la 
conexión. 


Por tanto, en una conexión full-duplex es 
necesario que ambas partes se pongan de 
acuerdo sobre el momento en el que hay que 
cerrar la conexión. 


En el caso de TCP, el sistema que se utiliza 
para conseguir esto es sencillamente que 
cada uno, por su cuenta, indique al otro el 
momento en el que quiere cerrar la conexión. 


Una vez que el otro se ha enterado, habrá 
que esperar a que él también desee cerrar la 
conexión. Es decir, si hemos terminado de 
enviar datos, decimos “Por mi ya está todo 
hecho. Avisame cuando termines tú”. En el 
momento en que el otro termine, avisará 
diciendo: “Vale, yo también he terminado, 
así que hasta luego”. 


Para dar este tipo de avisos lo que se hace 
es enviar un paquete especial que tiene 
activado un flag que sirve precisamente para 
indicar que deseamos FINalizar la conexión. 
Este flag es el flag FIN. 


A partir del momento en que enviamos un 
paquete con el flag FIN, ya no debemos 
enviar ningún paquete más (excepto en el 
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caso de que tuviéramos que reenviar un 
paquete anterior porque no recibiésemos su 
confirmación), y lo único que debemos hacer 
es seguir recibiendo los datos de nuestro 
compañero, hasta que éste también nos envíe 
su paquete con el flag FIN. 


DATOS 
DATOS 
FIN 
ACK del FIN 


DATOS 


ACK del FIN 


Esto, una vez más, nos da lugar a nuevos 
estados de conexión. Una vez que enviamos 
nuestro FIN entramos en un estado en el que 
no podemos enviar, y sólo podemos recibir. A 
este estado lo podemos llamar ESPERA DEL 
FIN. 


En realidad, el cierre de conexión da lugar a 
varios estados diferentes, que podemos ver 
en la siguiente imagen: 


ESTABLISHED ESTABLISHED 
FIN 


FIN_WAIT_ ———_—_—_—_—_—_—_—_—_—_—— 


ACK del FIN_ CLOSE WAIT 


FIN_WAIT_2 
e E DATOS 


FIN LAST_ACK 
ACK del FIN 


TIME_WAIT. 


CLOSED 
Transcurrido un fiempo... 


CLOSED 


Aquí he puesto ya los nombres auténticos de 
los estados, en inglés, porque sería demasiado 
rebuscado tratar de traducirlos, jeje. 


Como vemos, el estado que he llamado antes 
ESPERA DEL FIN es el que se llama 
FIN_WAIT_1. 


En el momento en que nuestro compañero 
recibe nuestro FIN, él entra en otro estado 
diferente, que es el CLOSE_WAIT, es decir, 
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en espera de cerrar, ya que es ahora 
responsabilidad suya terminar de enviar 
cuando pueda, para enviar él también su FIN. 


Por otra parte, cuando recibe nuestro FIN, 
tiene que confirmarnos su recepeción, igual 
que con cualquier otro paquete, enviándonos 
un ACK. 


En el momento en que recibimos ese ACK, 
entramos en otro estado, que es el 
FIN_WAIT_2. 


En el momento en que nuestro compañero 
termina, éste envía su FIN, y queda en espera 
de recibir nuestra confirmación. Durante esta 
espera, entra en estado LAST_ACK. 


Una vez que recibimos ese FIN, entramos en 
estado TIME_WATIT, y enviamos el ACK para 
el FIN de nuestro compañero. 


Una vez completado todo esto, ambas partes 
pasan a estado CERRADO, y se acabó el 
tema. La máquina A esperará un tiempo 
prudencial para pasar a estado CERRADO, 
ya que no puede estar seguro de que B haya 
recibido correctamente su último ACK. 


5.3. Lista de estados TCP 


Ya podemos ver la lista completa de estados 
de conexión en TCP, que os servirá como guía 
de referencia, sobre todo para cuando utilicéis 
herramientas como netstat. 


LISTEN - Es el estado en el que permanece 
cualquier servidor cuando está en espera a 
que un cliente se conecte. Todos los puertos 
que tengamos abiertos en nuestro PC nos 
generarán un socket TCP (o UDP, según el 
caso) en estado LISTEN. Cada vez que un 
cliente se conecte, si permitimos más de una 
conexión, se creará un socket en estado 
ESTABLISHED para ese cliente, y otro en 
estado LISTEN para esperar al resto de 
clientes. 


SYN_SENT - Se entra en este estado cuando 
solicitamos una conexión a un servidor 
(enviamos un paquete SYN), y aún no hemos 
recibido su aceptación o su rechazo. (Ver 
establecimiento de conexión). 


SYN_RECEIVED - Se entra en este estado 
cuando tanto cliente como servidor han enviado 
sus correspondientes SYN, y estamos en espera 
de que se complete el tercer y último paso 
del establecimiento de conexión. (Ver 
establecimiento de conexión). 


ESTABLISHED - Conexión establecida. Es el 
estado habitual. 


FIN_WAIT_1 - Hemos enviado un paquete 
FIN, y sólo podemos recibir, pero no enviar. 
Estamos esperando a que nuestro compañero 
nos confirme que ha recibido nuestro FIN. 
Queremos cerrar la conexión, pero aún no 
sabemos si nuestro compañero se ha enterado. 
(Ver cierre de conexión). 


FIN_WAIT_2 - Hemos enviado un paquete 
FIN, y sólo podemos recibir, pero no enviar, 
pero además hemos recibido ya la confirmación 
(ACK) de nuestro FIN. Por lo tanto, sabemos 
ya que nuestro compañero conoce nuestras 
intenciones de cerrar la conexión. (Ver cierre 
de conexión). 


CLOSE_WAIT - Hemos recibido el FIN de 
nuestro compañero, pero a nosotros todavía 
nos quedan datos por enviar. (Ver cierre de 
conexión). 


CLOSING - Esperamos a la última 
confirmación para cerrar definitivamente la 
conexión. Es un estado al que se llega cuando 
ambas partes desean cerrar la conexión 
simultáneamente, al contrario del caso que 
explicamos anteriormente. 


LAST_ACK - Esperamos a la confirmación 
(ACK) de nuestro FIN, cuando eramos nosotros 
los últimos que faltabamos por enviar el FIN. 
(Ver cierre de conexión). 


TIME_WAIT - Hemos enviado la confirmación 
del FIN a nuestro compañero, cuando era él 
el que faltaba por enviar el FIN. Se llama así, 
porque lo que hacemos es esperar un tiempo 
prudencial para asumir que ha recibido nuestra 
confirmación. Siempre que nosotros cerremos 
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una conexión, durante un tiempo 
permaneceremos en estado TIME_WATIT, por 
lo que es bastante común encontrar este 
estado cuando hacemos netstat. (Ver cierre 
de conexión). 


CLOSED - Es un estado ficticio, que 
simplemente dice que no hay ningún tipo de 
conexión. 


A continuación, muestro el diagrama de 
estados de TCP, tal y como lo podéis encontrar 
en el RFC: 


6. RAW Sockets TCP (Nemesis y 
Hpin 


Vamos a recordar un poco las herramientas 
que expliqué para manejar RAW sockets en 
el artículo sobre UDP, pero en este caso 
aplicadas al caso de TCP. Esta vez 
empezaremos por Linux. 
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6.1. Hping2 para Linux 


El caso de TCP es bastante más complicado 
que el de UDP, ya que TCP da muchísimo más 
juego. No hay más que ver el manual: 


man hping2 


Para ver la gran cantidad de opciones que hay 
para TCP que, por cierto, es el protocolo por 
defecto de Hping2. Nosotros vamos a ver sólo 
las opciones que directamente tienen que ver 
con lo explicado hasta ahora. 


Empezamos con la prueba más sencilla: 
hping2 130.206.1.5 --destport 21 --count 1 


Con esto enviamos un único (--count 1) 
paquete TCP a la dirección 130.206.1.5, al 
puerto 21. 


Este paquete tendrá todos sus parámetros 
tal y como los tiene configurados hping2 por 
defecto, es decir, sin ningún flag, con un 
tamaño de ventana de 64 bytes, y sin 
opciones. 


Este paquete, por tanto, sirve para bien poco, 
aunque en el manual de hping2 nos explican 
que, si ni siquiera utilizamos el parámetro - 
-destport, por defecto envía el paquete al 
puerto O, y esto puede ser útil para hacer 
un “ping” a una máquina que tenga un firewall 
que filtre los auténticos pings (que no son 
TCP, si no ICMP, que es otro protocolo), y 
además es probable que éste intento nuestro 
de ping ni siquiera quede reflejado en los logs 
de la máquina. Aún así, esto es algo que yo 
no he comprobado, así que no sé qué utilidad 
tendrá. Os propongo que lo probéis vosotros 
mismos como ejercicio. Y 


Vamos a ver las diversas opciones que nos da 
Hping2 para TCP: 


--baseport: permite especificar nuestro puerto 
de origen. 

--destport: permite especificar el puerto de 
destino. 

--keep: si enviamos varios paquetes, evita 
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que el puerto de origen se vaya incrementando 
automáticamente, tal y como vimos con UDP. 
--win: fija el tamaño de la ventana TCP. 
--tcpoff: envía un valor falso para el campo 
Comienzo de Datos de la cabecera TCP. 
--tcpseq: especifica el Número de Secuencia. 
--tcpack: especifica el Número de 
Confirmación. 

--badcksum: igual que en UDP, envía un 
checksum erróneo. 

--fin: el paquete que enviamos tiene activo 
el flag FIN. 

--syn: el paquete que enviamos tiene activo 
el flag SYN. 

--rst: el paquete que enviamos tiene activo 
el flag RST. 

--push: el paquete que enviamos tiene activo 
el flag PUSH. 

--ack: el paquete que enviamos tiene activo 
el flag ACK. 

--data: especifica el tamaño del campo 
DATOS, sin contar con la cabecera. 
--file: igual que en UDP, permite rellenar el 
campo DATOS con los contenidos de un archivo 
que especifiquemos. 

--safe: nos permite asegurarnos de que los 
paquetes que enviamos llegan a su destino 
ya que, tal y como ha de hacerse en TCP, si 
no recibimos la confirmación de alguno de 
los paquetes, hping2 lo reenviará 
automáticamente. 


Vamos a ver todo esto y mucho más con un 
ejemplo muy interesante, que es para poner 
en práctica la técnica de SYN Flood explicada 
anteriormente. 


SYN Flood mediante Hping2. 


Esta técnica sólo debéis utilizarla para hacer 
pruebas con vosotros mismos, para 
comprender el funcionamiento de la técnica, 
y también para poner a prueba la seguridad 
de vuestra red, por si queréis hacer una 
auditoría de seguridad y arreglar los agujeros 
que tengáis. 


Cualquier otro uso que le deis, al margen de 
que pueda ser ilegal, éticamente será 
indeseable, ya que no estaréis más que 


fastidiando por fastidiar. Además, es poco 
probable que funcione un IP spoofig a pelo 
como el que voy a explicar, ya que los routers 
que haya en el camino desde vosotros hasta 
vuestra “víctima” probablemente rechacen los 
paquetes si no provienen de una IP que forme 
parte de su red. 


Recordemos que para explotar la técnica de 
SYN Flood “simplemente” hay que enviar gran 
cantidad de paquetes con flag SYN, cada uno 
con una dirección IP de origen falsa y, a 
ser posible, diferente. Hping2 “casualmente” 
tiene opciones para automatizar todo esto, 
por lo que nos basta con esta línea: 


hping2 192.168.1.1 --rand-source -- 
destport 21 --syn --count 100 


Con esta línea enviaremos 100 paquetes (-- 
count 100) al puerto 21 de la IP 192.168.1.1, 
utilizando como IP de origen una aleatoria en 
cada paquete (--rand-source), y con el flag 
SYN activado. 


Os puedo asegurar que esta línea funciona, 
ya que acabo de probarla ahora mismo con 
el puerto de telnet (--destport 23) de mi router 
ADSL, y ahora me es imposible conectar con 
el telnet del router. 


¿Significa esto que yo, que precisamente estoy 
explicando estas cosas, tengo un grave 
problema de seguridad? Realmente no, por 
tres motivos. En primer lugar, porque el puerto 
de Telnet lo tengo abierto sólo hacia mi red 
local, por lo que sólo podría atacarme... yo 
mismo. En segundo lugar, porque no es un 
servicio de importancia crítica, es decir, me 
da igual tirarme el tiempo que sea sin poder 
acceder al telnet de mi router, ya que sólo lo 
uso muy rara vez, cuando tengo que modificar 
algo en la configuración. En tercer lugar, al 
tratarse de un router hardware y no de un 
simple programa de PC, tendría que esperar 
a que saliese una nueva actualización del 
firmware que solucionase este problema, así 
que en cualquier caso no está en mi mano la 
solución, si no en la del fabricante del router. 
Ya que la cosa se está calentando un poco, 
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vamos a probar alguna técnica más de hacking 
relacionada con TCP. $ 


Ataques por adivinación de 
número de secuencia con Hping2. 


Vamos ahora con una técnica realmente 
interesante que, de hecho, utilizó incluso el 
propio Kevin Mitnick (uno de los hackers más 
famosos de la historia) como parte de las 
andanzas que le hicieron terminar en la cárcel 
(aplicaos el cuento, jeje). 


En este caso, no se trata de un simple ataque 
DoS, como el SYN Flood, si no de un ataque 
mucho más versátil que nos permitirá 
colarnos en conexiones ajenas, con todo 
lo que ello implica. 


Conseguir un ataque de este tipo con éxito 
es realmente complicado, así que lo que voy 
a contar, que en la teoría puede parecer tan 
“sencillo”, en la práctica choca con mil y un 
inconvenientes, empezando por la dificultad 
que comenté antes de hacer un IP Spoofing 
sin que se enteren los routers que transportan 
el paquete. 


Como lo importante es comprender la teoría 
de las cosas, y no meternos en líos, voy a 
explicar las bases de este tipo de ataques. 


Para comprender el funcionamiento de estos 
ataques debemos recordar qué es lo que 
define exactamente una conexión, es decir, 
lo que identifica unívocamente a una conexión 
para diferenciarla de cualquier otra de Internet. 
Pues son estos los parámetros: una IP de 
origen, una IP de destino, un puerto de 
origen, un puerto de destino, y los 
números de secuencia de cada una de 
las dos partes. 


Por tanto, si conociéramos todos estos datos, 
teniendo una herramienta como Hping2 que 
nos permite crear paquetes a medida, 
podríamos insertar cualquier dato en una 
conexión ajena. 


Por ejemplo, si sabemos que la máquina A, 
con IP 192,168.1.2, tiene establecida una 
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conexión de FTP (puerto de destino 21) con 
la máquina B, con IP 192.168.1.5, utilizando 
como puerto de origen el 3560, nos bastaría 
con saber el número de secuencia que está 
utilizando la máquina A para poder inyectar 
paquetes en su conexión de FTP. 
Supongamos que sabemos que su número de 
secuencia es el 24560. 


Bastará con hacer: 

hping2 192.168.1.5 --spoof 192.168.1.2 
--baseport 3560 --destport 21 --tcpseq 
24560 --file comandos.txt --data 14 -- 
count 1 


Con esto enviamos un único paquete (--count 
1) enviando como IP spoofeada la de la 
máquina A (--spoof 192.168.1.2), e inyectando 
como datos unos comandos de FTP que hemos 
metido previamente en el archivo 
COMANDOS.TXT. 


Por supuesto, el gran problema de esto es 
que es realmente complicado conocer el 
número de secuencia de una conexión ya que, 
además de ser un número realmente grande 
(32 bits), va cambiando constantemente a lo 
largo de una conexión. 


Hping2 nos ofrece una herramienta para 
ayudarnos a la hora de adivinar el número de 
secuencia, comprobando si un determinado 
sistema utiliza números de secuencia fáciles 
de predecir. Para ello nos da la opción -- 
segqnum, que hace un análisis de los números 
de secuencia utilizados por un sistema: 


hping2 192.168.1.5 --seqnum --destport 
21 --syn 


Con esto veríamos cómo varían los números 
de secuencia de la máquina B cada vez que 
intentamos conectar con su puerto de FTP. 
Hping2 nos mostrará el número de secuencia 
utilizado, y el incremento con respecto al 
utilizado anteriormente. Si este incremento 
es siempre el mismo, entonces estaremos 
ante una máquina con números de secuencia 
“fácilmente” predecibles. 
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Una vez que ya tenemos una idea del rango 
de números de secuencia que puede utilizar 
la máquina que queremos suplantar, podemos 
intentar lanzar miles de paquetes iguales, en 
los cuales sólo cambie el número de secuencia, 
y esperar que el azar nos recompense con la 
suerte de que alguno de ellos haya acertado, 
y el paquete se inyecte correctamente en la 
conexión ajena. 


6.1. Nemesis para Windows 


Para empezar, os recuerdo que en el directorio 
de Nemesis tenéis un archivo de ayuda para 
cada protocolo. En este caso el que nos 
interesa es el archivo nemesis-tcp.txt. 
Como ya me estoy quedando sin espacio, os 
resumo brevemente las opciones que nos da 
Nemesis para TCP, que son bastantes: 


-X : permite especificar el puerto de origen. 
-y : permite especificar el puerto de destino. 
-s : permite especificar el número de 
Secuencia. 

-a : permite especificar el numero de 
confirmación. 


de urgencia. 

-0 : permite incluir un fichero que contenga 
las opciones TCP que queramos. 
-v : activa el modo verbose que nos da 
información más detallada de lo que estamos 
haciendo. 


Os recuerdo también que necesitaremos un 
par de opciones referentes a IP: 


-D : permite especificar la IP de destino 
(imprescindible). 

-S : permite especificar la IP de origen (IP 
Spoofing). 


Por ejemplo, si queremos enviar un paquete 
de solicitud de conexión al FTP de Rediris 
podemos hacer: 


Nemesis tcp -v -S 192.168.1.1 -D 
130.206.1.5 -x 1000 -y 21 -fS -a O 


En primer lugar especificamos nuestra IP 
(-S 192.168.1.1), que en este caso es una IP 
de red local porque nos encontramos detrás 
de un router ADSL. En segundo lugar indicamos 


-fS : activa el flag SYN 

-fA : activa el flag ACK 

-fR : activa el flag RST 

-fP : activa el flag PSH 

-fF : activa el flag FIN 

-fU : activa el flag URG 

-w : permite especificar el tamaño de la 
ventana. 

-u : permite especificar el campo puntero 


la IP de destino, es decir, la del servidor FTP 
de Rediris (-D 130.206.1.5). A continuación 
especificamos los puertos de origen y de 
destino (-x 1000 -y 21). A continuación, 
activamos el flag SYN para este paquete (- 
fS). Por último, ponemos un O en el campo 
número de confirmación, ya que es para una 
conexión aún no establecida (-a 0). 


¿QUIERES COLABORAR CON PC PASO A PASO? 


PC PASO A PASO busca personas que posean conocimientos de 
informática y deseen publicar sus trabajos. 


SABEMOS que muchas personas (quizás tu eres una de ellas) han creado 
textos y cursos para “consumo propio” o “de unos pocos”. 
SABEMOS que muchas personas tienen inquietudes periodísticas pero 


nunca se han atrevido a presentar sus trabajos a una editorial. 


SABEMOS que hay verdaderas “obras de arte” creadas por personas 
como tu o yo y que nunca verán la luz. 


PC PASO A PASO desea contactar contigo! 


NOSOTROS PODEMOS PUBLICAR TU OBRA!!! 


SI DESEAS MÁS INFORMACIÓN, envíanos un mail a 
empleo0editotrans.com y te responderemos concretando nuestra oferta. 


Tercer y último artículo de la “serie” 1DS... y no me “gustaban” las dedicatorias... los dos 


artículos anteriores también fueron dedicados a... éste no podría ser menos... en este 


caso no es a una persona en concreto. este va dedicado a un grupo. un grupo formidable 
y con todo mi reconocimento...ese grupo sos vosotros, los lectores de esta reusta.... 


Para todOs vosotros + 


Sin más preámbulos. empecemos! 


Si no utilizamos plug-ins de salida, snort 
volcará los resultados de alertas y logs en 
archivos de texto plano dentro del directorio 
por defecto o en el los archivos indicados que 
definen las reglas o directivas del pre- 
procesador. 


Esos archivos, aunque comprensibles y 
legibles, son tediosos y difíciles de seguir, la 
intención que buscan los plugins de salida es 
la de facilitar la lectura de los mismos, ubicar 
los resultados en Bases de Datos, visualizar 
en tiempo real (o diferido) esos resultados 
en formatos “mas amigables” y fáciles de 
seguir, como pueden ser documentos HTML, 
XML, gráficos estadísticos y otros... 


Desde luego la forma más eficiente de que 
snort trabaje no es precisamente el uso de 
plug-ins muy pesados, los análisis en tiempo 
real y registro de alertas en bases de datos 
consumen más recursos y utilizan un ancho 
de banda más intensos, además una base de 
datos para que sea efectiva ha de mantenerse, 
lo que implica también costes económicos y 
recursos humanos. 


También se necesitan aplicaciones “extra” 
para manejar adecuadamente esos plugins, 
desde Gestores de Bases de Datos tipo MySql, 
intérpretes de perl, XML, lenguajes de 
programación como php, etc... 


No todo son desventajas, por el contrario, 
los pros de utilizar este tipo de plugins son: 
Recibir una información más acertada en 
tiempo real, registro correlativo en bases de 
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datos con la consiguiente mejora de filtrar por 
alertas, contenidos, tipos de intrusiones, etc.. 
en resumen, la principal ventaja reside en la 
flexibilidad del análisis, la escalabilidad y una 
mejor presentación de los resultados. 


Empecemos con uno sencillito, independiente 
de la plataforma, de libre distribución, etc... 
tanto para LINUX como para Windows utiliza 
los mismos links, es en un bytecode... por 
eso Java es multiplataforma Y 


Se llama SAM (Snort Monitor Alert) y lo 
podréis encontrar en: 


http://aleron.dl.sourceforge.net/sourceforge 
/snortalertmon/sam_2002-08-26_binary.zip 


Tienes una versión mucho más reciente en 
(no testeada): 


http://aleron.dl.sourceforge.net/sourceforge 
/snortalertmon/sam_20040323_bin.zip 


Necesitaremos unas cuantas cosas para poder 
usar este plugin, si hiciste “tus deberes” en 
los números anteriores ya deberías tener 
instalado varias de estas cosas, si no ahora 
es el momento, porque para SAM y para los 
otros que nos vienen por delante los vamos 
a necesitar: 


b Gestor de Base de Datos (puede ser 
MySQL, ORACLE, PostGreSQL...) SAM sólo 
puede usar MySQL. 
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> Java Runtime Environmet, esto es la 
máquina virtual de java para poder ejecutar 
los archivos .jar 


Tanto para L/NUX como para Windows puedes 
descargar Mysql desde aquí: 


http://www.mysql.com/downloads/index.html 


No tienes más que elegir la plataforma 
deseada, muchas distribuciones de LINUX ya 
incluyen mysql, si es así no será preciso 
descargarse nada a menos que quieras 
actualizar la revisión. 


Actualmente se está desarrollando y probando 
la versión 5.0 pero es mejor que usemos la 
4.0 


Configurando SAM para Windows 


La instalación de mysql en Windows es muy 
simple, lo de siempre....ejecutamos el 
instalador y seguimos los pasos... si quieres 
seguir los ejemplos que vienen a continuación 
"al pie de la letra” recuerda que el directorio 
de instalación de mysql será C:1mysq]l. 


Tras finalizar la instalación, buscaremos dentro 
de la carpeta mysql/bin un archivo llamado 
winmysqladmin.exe 


Edición Yer Favoritos Herramientas Ayuda 


ero A) 1) ya Búsqueda (> Carpetas IEEE 


replace.exe 


] winmysqladmin.cot 
Archivo CNT 
1 KB 

create_mysql 
Archivo 

8 KB 


Lo ejecutamos y, si es la primera vez 
que lo haces, te pedirá un nombre de 
usuario y contraseña para el acceso al 
Gestor. 


by 


WinMySQLadmin Ver 1.4 €) Cancel 


DataKonsultAB 


Ahora verás en la bandeja del sistema un 
nuevo icono... el semáforo.... 


Si no ves el semáforo, vuelve a ejecutar el 
archivo winmysqladmin.exe como antes... 
y por supuesto la “luz” del semáforo tiene 
que estar verde... 


Ahora instalemos Java Runtime 
Environment 


http://java.sun.com/j2se/1.3/jre/ (al igual 
que antes eliges la plataforma y descargas 


los binarios correspondientes). 


Y la instalación en Windows, como todas.... 
siguiente, siguiente.... finalizar y por si "las 
moscas pican”, reiniciamos.... 


Ahora vamos a descomprimir SAM, en mi PC 
lo guardé en D:1sam, tu eres libre de decidir 
dónde. 


Tras descomprimirlo en la carpeta deseada 
verás esto: 


Dirección Vínculos 


Contraseña para 
administrar MySQL 


| Pantalla 3. Ubicación 
del archivo sam.jar 
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E. sam.properties - Bloc de notas 


Archivo Edición Formato Ver 


Antes de ejecutar nada, hay que seguir unos 
cuantos pasos... 


b Configurar el archivo sam.properties 
que está en la carpeta d:/sam/conf 
b Crear la base de datos y tablas necesarias 
para el plugin database 

b Modificar el archivo de configuración 
de snort para que utilice mysql! 


Si accedemos a la carpeta conf de SAM 
encontraremos un archivo y otra carpeta, de 
lo que se trata es de editar el archivo 
sam.propiertes y darle los valores que 
queramos, el contenido original es este: 


-J1)Xx) 


Ayuda 


email. host=smtp. your-domain. com 
email. from=snortGyour-domain. com 
emai1.to=your-emai16your-domain. com 
email. active=false 


alertlevel.medium=30 
alertlevel.high=40 


mainpanel.refresh=3 


= Pantalla 4. Contenido 


del archivo 
sam.propiertes 


Nos permitirá enviar alertas mediante el 
uso del correo electrónico, para ello has 
de poner el servidor de correo saliente que 
uses (smtp), la cabecera from(quien envía 
el mensaje), la cabecera to (la dirección mail 
destino) y en la línea email.active= cambiar 
el valor de false por true, en caso contrario 
no se enviará nada aunque configuremos 
adecuadamente. 


Las líneas alertlevel.high y 
alertlevel.medium son variables que usará 
SAM para enviar alertas, realmente SAM sólo 
envía las alertas “de código rojo” cada cinco 
minutos, esto lo entenderás más adelante y 
la línea mainpanel.refresh=3 simboliza el 
los minutos que deben transcurrir para que 
SAM actualice el panel de control... en un 
momentito lo entenderás todo. 


Tampoco te preocupes mucho por las variables 
alertlevel puesto que todavía no están 
implementadas. ... 


Por ejemplo, podemos configurarlo así: 
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E. sam.properties - Bloc de notas 
Archivo Edición Formato Yer Ayuda 


email. host=mai1.forohxc. com 
email.from=vic_thortGforohxc. com 
email.to=vwic_thorGforohxc. com 
email.active=true 


alertlevel.medium=30 
alertlevel.high=40 


mainpanel.refresh=1] 


Bueno, pues guardamos ese archivo (te 
recomiendo que no uses email.active a 
true para empezar, para evitar problemas 
“de principiante”) 


Ahora vamos a crear la base de datos que 
necesitamos, sus tablas y sus campos... 


UFFff, tarea de titanes... pero afortunadamente 
tenemos un source para mysql que lo hará 
solito... lo que pasa es que no sabes donde 
está... pero lo tienes Y 


Vamos a situarnos en la carpeta 
c:1snorticontrib (¿recuerdas que era una 
carpeta para “contribuciones”?, pues esta es 
una de ellas que nos facilitará la vida). 


El archivo que nos interesa es create_mysql 


BB CiSnorticontrib 


Archivo Edición Yer Favoritos Herramientas Ayuda 


EJ5)Xx) 


contenido del archivo 
sam.properties 


del archivo 
create_mysql 


Q rus 1) 1%) y» Búsqueda [Es Carpetas E 


address_config.sh 


En ACID-0.9.6b21.tar.g2 
3 Pp FIE 1... 


create_mssql 
Archivo 


create_oracle.sql 
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Pantalla 7. Nueva 
ubicación del archivo 


B% CmysqUbin 


Copiamos ese archivo a la carpeta 
C:1mysqlY bin 


E Jal) 


Archivo Ayuda 


Q Atrás 
| aser 


| pack_isam.exe 
replace.exe 


mM) winmysqladmin.exe 


Edición Yer Favoritos Herramientas 


e) ya Búsqueda E» Carpetas EE 
Haas 


í 
| | perror.exe 
| 
| 


winmysqladmin.cot 
create_mysal 


Archivo 
KB 


Con esto nos evitaremos tener que escribir 
la ruta cuando le pidamos a mysq/ que genere 
la Base de datos necesaria. 


create_mysql 


Ahora abrimos una línea de comandos (inicio- 
ejecutar-cmd) y cambiamos al directorio 
c:imysqlYbin y ejecutamos la orden 
mysql.exe 


buen curso de SQL y GRATIS... 
nuestros foros: 


pasa a 


Nuestro compañero Yorkshire nos ha dejado 
dos joyas en la sección de FAQ, 


Curso de SQL: 
http://www.hackxcrack.com/phpBB2/viewto 


pic.php?t=12222 


Curso de PL/SQL: 


http://www.hackxcrack.com/phpBB2/viewto 
pic.php?t=13065 


Bueno, lo que necesitamos es crear una Base 
de datos, seleccionarla y crear la estructura 
de tablas y campos, vamos a elegir como 
nombre idstest y la creamos y seleccionamos 
así: 


ex CAWINDOWSISystem32md.exe - mysql.exe 


Melcome to the MySQL monit 
Your MySQL connection id i 


s end with ; 
server rsion: 


org. 
4.8.13-nt 


Type *help5* or *Nh' for help. Type *c* to clear the buffer. 


exe - mysql.exe 


ión 5.1.26081 
osoft Corp. 


ex CIWINDOWSIS ystem32 


ft Windows XP [ 
yright 1985-2080: 


tingsWictor>»diwmysqlNbin 


ith ; 
ion: 


monitor. Com 
ion id is 29 to s 


or yy. 
4.0.13-nt 


Type *help;” "xh?” for help. Type ” lear the buffer. 


mysql1> 


ll 


falla 8. Ejecutando NO TE CONFUNDAS... ahora estamos ante 
el gestor de mysql y NO en la shell de 
Windows. Puedes ver en la imagen que en la 
última línea sale mysq!>, todo comando que 
introduzcamos a partir de ahora deberá ser 
un comando de mysql (ya no sirven los 


comandos de DOS). 


el SDGBD 


Si no sabes nada de SQL no importa, tampoco 
es muy complejo lo que vamos a realizar y 
está guiado “paso a paso” pero si quieres un 
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| Pantala 9, Crear la 


Base de Datos 


Ahora toca lo difícil... tendríamos que conocer 
la estructura que manejará snort, las tablas, 
sus nombres, los campos, sus tipos, longitudes, 
etc... pero para eso está el archivito que 
copiamos anteriormente al directorio /bin de 
mysq]... ese que se llamaba create_mysgq]l, 
hacemos esto: 


1; 
<a.a9 


d <8.08 
. B rows affected 
affected € 
s affected CB. 
affected 


s affected € 


de la estructura 
mediante el script 


No puse la salida completa, para que la pantalla 
no sea excesivamente grande, pero 
resumiendo, la orden source create_myq]l; 
creará la estructura que necesitamos... 


source create_mysql 
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Claro que mejor sería asignar un nombre Ahora vamos a iniciar snort desde la línea [ayala 72 Ejecución 
de usuario y password para que no entre de comandos como va siendo habitual... dc 

el primero que llega, ... mejor sigue el curso 
de SQL que nos proporcionó yorkshire... 
aunque cuando veamos el siguiente plugin te snort -de -A fast -1 CzvsnortMlog —c CiNsnortuetensnort .conf., 


es C:WINDOWSISystem321cmd.exe 


enseñaré como hacerlo Y 


Ahora que ya lo tenemos todo preparadito, 
nos falta explicarle a snort que utilice como 
plugin de salida la base de datos que nos lo E 
acabamos de crear... 0 21 UINSZ Port By C sra aa Seeconsule 


Nos toca ejecutar SAM... para ello accedemos - | Pantalla 13. Ejecución 
al directorio donde está instalado (recuerda - | deso... capturando 
que era D:1sam) y podemos hacerlo de dos paquetes... 

modos: 


En artículos... 


En artículos anteriores hemos utilizado distintos archivos 


de configuración, como imagino que ya habrás hecho , , z s 
8 Ñ CRES > Haciendo doble clic en el archivo sam.jar 


muchas prácticas, inclusión de preprocesadores, etc... para desde el interface gráfico 
este ejemplo y los que vienen usaremos el ORIGINAL, es » Desde una línea de comandos: java -jar 
decir el archivo snort.conf, así evitaremos problemas de sam.jar ES 
“ » Pantalla 14. Acceso a 
nomenclaturas”. 
El caso es que de una u otra forma nos la base de datos 


aparecerá esto: 


Database Login 
Database MySQL v 


——————— 
Hostname [172.28.0.50 


Ese archivo está alojado en la carpeta Escribiremos la dirección 
C:1snortYetcYsnort.conf, lo editamos, IP del equipo y el nombre 


buscamos la sección correspondiente (si de la base de datos que 
tienes dudas mira la imagen siguiente) y creamos en mysql, o la [Peehese name fidstest | 
añadiremos estas dos líneas: dirección 127.0.0.1 si se trata Username | 


del mismo equipo donde están Do 
ejecutando tanto mysq! como 
SAM 


E snort.conf - Bloc de notas E Ja)tx) Lógicamente daremos el nombre de usuario y 
Aroa EAS TEcmeto” Yer Ayués contraseña si los hubiésemos creado, OK y...... 


* database: log to a variety of databases 
* 


+ see the README. database file for more information about configuring 
* and using this plugin. 
+ 


File Edit Monitor Help 


Alert Status Recent Alerts Top Attacks (Last 24 hrs) Top Attackers (Last 24 hrs) 
Last 5 min: CEET . a 2 172 TEE 7 => 
Last 15 min: [EME superacan 4 
Last 30 min: 
Last 60 min: 


Total: 


OUTPUT atabase: s abname=1dstest 
putput database: , dbname=idstest 


* output database: alert, postgresql, user=snort dbname=snort 
+ output database: log, sabe user=snort dbname=snort 
database: log, mssql, dbname=snort user=snort password=test 
database: log, oracle, dbname=snort user=snort password=test 


* unified: Snort unified binary format alerting and logging 
< 


Modificación del | Si hubiésemos asignado nombre de usuario ia 
archivo snort.conf, 


sección 3, plugin y contraseña a la base de datos tendríamos  [iórapns ]recentaremps] Samiog | Watentis 
que haber escrito: / Attacks Last 60 Minutos 


database 


Donde usuario y contraseña será el nombre 
y password que hubiésemos asignado. Una 
vez modificado el archivo de configuración, 
lo guardamos... A 


PC PASO A PASO N* 21 Página 39 


Seguridad - IDS (III) - Seguridad - IDS (111) - Seguridad - IDS (111) - Segurit 


+16. Alertas y | 
control en tiempo real. 
Ficha Ataques 
Recientes 


File Edit Monitor Help 
Alert Status 


Last 5 min: 
Last 15 min: 
Last 30 min: 
Last 60 min: 


Last Update: 2004-04-05 01:44:54 


Recent Alerts 


jeje, si tienes los altavoces conectados oirás 
una "voz profunda”... simpático, no? 
Bueno en el ejemplo de arriba, ya “trastee” 
un poco con la red... puedes ver en la imagen 
anterior que intenté 3 accesos por unicode a 
un webserver, unos cuantos escaneos de 
puertos, etc... 


Podemos ver algo más de los ataques si 
usamos la ficha de Recent Attemps, pero 
antes de que pasen 5 minutos o se borran... 


Top Attacks (Last 24 hrs) 
Type Count | 
'WEB-IIS unicode ... 3 
(nttp_inspech DO... 3 
ICMP superscan.... 1 


Top Attackers (Last 24 hrs) 


Attacker | Count 
2 11172.28.0.50 7 


Total: 


- 


'Sraphs | Recent Attempts |SAMlog | Watch List! 
10 ] 


Source Destination ] Attack Signature ] Time 


6 
7 


1172.28.0.50 
172.28.0.50 


172.28.0.25 
172.28,0.25 


WWEB-IIS unicode directory... 2004-04-05 01:41:37 
(http_inspect) DOUBLE D... 2004-04-05 01:41:37 


'onnected to Database! 


Y si seleccionamos una de ellas y pulsamos 
botón-derecho show details, aparece esto: 


£B Alert Details 


Source 


IP Address 


Destination 


Domain Name LapTop-Toshiba Domain Name 172.28.0.25 
172.28.0.50 IP Address 172.28.0.25 
0 Port 0 


Port 


Pantalla 17.Detalle de 


las direcciones del 
ataques 
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SAM es muy fácil de utilizarse, no tiene ningún 
misterio, el resto te lo dejo a ti... 


Configuración e instalación de 
SAM para LINUX 


No voy a repetir lo mismo, la instalación para 
LINUX es similar y prácticamente todos los 
pasos descritos para Windows se resuelven 
del mismo modo, recuerda que la estructura 
de directorios donde se instaló snort en 


plataformas LINUX difiere de las de Windows. 


Es importante que hayas instalado 
convenientemente snort, recuerda que hay 
binarios y fuentes que no dan soporte a Bases 
de Datos y que si deseamos usar MySQL u 
otros Sistemas Gestores de Bases de Datos 
es necesario generar los archivos de instalación 
con el script ./configure usando las opciones 
-with-mysql=DIR como lo hicimos el mes 
pasado. 


Por otro lado, la instalación de mysql es 
diferente aunque muy probablemente ya la 
tengas en la distribución que utilices y si no.... 
a bajarla e instalarla y no se te olvide crear 
la base de datos y utilizar el script 
create_mysql como hemos hecho con la 
versión de Microsoft. 


Para que puedas usar el script debes haberte 
bajado el código fuente de snort, puesto 
que en las versiones RPM puede no encontrarse 
la carpeta contrib. 


En lo que se refiere a Java Runtime 
Environment, más de lo mismo, lo más 
probable es que lo tengas instalado, por lo 
que realmente en plataformas Lí/NUX no será 
preciso más que descargar el módulo SAM y 
configurar los archivos sam.properties y 
snort.conf IGUAL que hemos descrito para 
Windows. 


Brevemente describimos los pasos para la 


instalación de SAM para LiNUX 


1%) Instalación de snort con soporte 
Mysql u otros... 
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20) Instalar Java Runtime Environment 
descargándolo desde la web de Sun. 


30) Descargar SAM y Modificar el archivo 
sam.properties como hicimos para Windows 


40) Modificar el archivo snort.conf como se 
explicó en la instalación de SAM para 
Windows. 


50) Iniciar el demonio mysq] si no está 
iniciado anteriormente mysqld 


6%) Copiar el archivo create_mysq] al 
directorio de trabajo y crear la base de datos: 


70) Ejecutar snort desde la línea de 
comandos de terminal 


80) Ejecutar SAM 


Son muchos los plugins existentes para snort, 
nos perderíamos en los detalles y profusión 
de ellos, en la web www.snort.org encontrarás 
experiencias y opiniones de otros muchos, 
pero si hay uno especialmente utilizado y 


bien desarrollado es ACID, quizás el más 
usado por los administradores que usan snort, 


Antes de comenzar con él te pongo una tabla 
de otros añadidos con los que puedes 
investigar: 
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weww.snort.org/dl'contribidata_analysisfsnortplot. pl 


http://swatch sourceforge.net 


weww.silicondefense.comésoftwarefsnortsnarf eee ii en formato 


Script en perl para el 
trazado de intrusiones 


Monitor en tiempo real de 
sucesos que incluye 
alertas via e-mail 


http:/acidlab.sourceforge.net 


www.cse fau.edu/—valankarfincident 


Análisis y resguardo de 
logs en Bases de datos, 
necesita PHP, Apache y 
plugins snort para acceso 
a BBDD 


Script en perl para crear 
informes en archivos logs 


http:sourceforge.net'projects/logh og 


http:/foinkmaster sourceforge.net 


http: //'sneak. sourceforge.net 


Analizador de logs que 
puede generar alertas vía 
e-mail, bloquear tráfico 
interactuando con las 
reglas definidas en 
IpTables 


Utilidad para el 
mantenimiento de reglas 


Configurador de reglas 
basado en GNOME 


weww.circuitsmaximus. com?downlo ad. htral 


Módulo que genera 
informes en tiempo real de 
intrusiones 


Ahora a por ACID.... 


Configuración e Instalación de ACID 


Aunque podemos utilizar ACID en versiones 
Windows o LINUX, en esta ocasión voy a 
centrarme en los pasos de instalación de 
ACID en LíNUX y dejaremos los pasos de 
instalación para Windows en una forma “menos 
detallada” 


Analysis Console for Intrusión Databases 
(ACID) es un plugin que interactúa con scripts 
php, servidores web y bases de datos y 
es muy probable que en la misma distribución 
de snort ya tengas incluido los fuentes de 
ACID, como es el ejemplo que nos ocupa... 
cuando descargamos el código fuente de snort, 
al descomprimir el archivo tarball al directorio 
de trabajo, se creó una carpeta llamada 
contrib dentro de la cual está ACID 
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Las principales características de ACID, 
son: 


b Interface gráfico para buscar y consultar 
las alertas y logs de la base de datos 


> Un buscador para decodificar y buscar 
paquetes de datos en capa 3 y 4 


b Organizar alertas por grupos 
b Enviar mails y exportar a bases de datos 
b Generación de gráficos 


Los requisitos para instalar ACID, son: 


b Sistema Operativo LINUX con Xwindow o 
S.O. MS-Windows 

b Uno o varios Servidores Web en nuestra 
red, mejor Apache 

b Lenguaje PHP y configurar el webserver 
para usar este lenguaje en sus páginas 
b Uno o varios Servidores de Bases de Datos, 
MySQL, ORACLE, PostgreSQL, etc. 
b Algunas librerías gráficas y para archivos 
comprimidos 

b Plug-ins para PHP como PHPplot o librerías 
JPGraph 


> Disponer de snort instalado y configurado 
para usar Bases de Datos 


Y este artículo + 


Buaaahhhhh!!!! Qué de cosas... ¿las tengo? 
¿donde? 


Bien, vayamos por partes... 


Si has seguido todos los artículos y has 
instalado todo lo que llevamos hasta hoy, ya 
debes disponer de Snort y MySQL y lo 
normal es que tu distribución ya incluya PHP 
y Apache como aplicaciones integradas en la 
misma. 


Luego sólo nos harán falta las librerías, pero 
por si acaso voy a realizar una muy breve 
explicación de cómo obtener e instalar Apache 
y PHP, así como de cómo configurar ambos 
para que las páginas php se puedan servir 
desde Apache. 


Como cada uno tiene una distribución y cada 
cual dispondrá de unos paquetes u otros 
instalados, voy a suponer “que no tenemos 
NADA” y vamos a ir instalando todo... 


Aunque estamos en la sección de LINUX, si 
estás usando Windows, descarga los programas 
que voy indicando para la plataforma Win32, 
así cuando le toque el turno a Windows ya 
tendrás las herramientas necesarias. 


Escenario de Instalación 
Sistema NIDS. Snort 2.1.1 


-- Máquina 172.28.0.200 

-- Soporte para Bases de Datos, Respuestas Flexibles 
-- Archivo de configuración: /etc/snort/snort.conf 

-- Directorio de reglas: /etc/snort/rules 

-- Directorio de logs: /var/mis_logs 

-- Librerías y dependencias: libpcap y libnet 


Servidor Web. Apache 1.3.27 


-- Máquina: 172.28.0.200 

-- Carpeta de documentos: /www/htdocs 

-- Archivo de configuración: /www/conf/httpd.conf 
-- Modulos php y/o Aplicaciones CGI configurados 


Servidor de Bases de Datos MySQL 4.x 


-- Máquina: 172.28.0.200 
-- Base de datos de alertas para snort: testids 


Lenguaje PHP4 


-- Instalado en la máquina: 172.28.0.200 
-- Configurado con soporte para MySQL, GD y sockets 


Otras librerías necesarias 


-- Máquina: 172.28.0.200 
-- ADODB, para comunicar PHP con MySQL 
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Como ves TODO deberá estar instalado y 
configurado sobre la misma máquina, pero 


no tiene por qué ser así... podríamos 
perfectamente disponer de un Servidor Web 
independiente del IDS y del servidor MySQL, 
es decir, 3 máquinas diferentes... 


Este es el escenario más sencillo para 
explicarte como funciona 
snort+acid+mysql+php+apache en este 
artículo, de otra forma nos perderíamos 
bastante en los detalles de cada uno, a parte 
que para seguir esta práctica necesitarías 
disponer de 4 ó 5 máquinas diferentes... y 
ya sé que pocos tenemos tantas cosas en 


casa... algunos locos si Y 


Aunque bien pensado... siempre nos queda 
vmWare o Virtual PC Y 


Instalar Apache con módulos 
dinámicos compartidos (DSO) 


Podemos encontrar apache para todas las 
plataformas y distribuciones en: 


http://www.apache.org 


Supongamos que bajamos el archivo apache- 
1.3.29.tar.gz desde aquí: 


http://apache.rediris.es/httpd/apache_1.3. 
29.tar.gz 


Ya... ya sé que andamos por la 2.x pero es 
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que esta revisión es la que tenía por un CD y 
así no me toca bajar más paquetes... que 


menuda sesión que llevo Y si quieres baja 
la última, y recuerda cambiar los nombres 
que pongo a continuación: 


Vamos a instalar esa versión de Apache con 
soporte para PHP4 como módulo del 
servidor Web. 


Descomprimimos el archivo 
apache_1.3.29.tar.gz en un directorio... el 
mío es: 


/root/Taller_snort/apache_1.3.29 


Lo que pretendemos es instalar el webserver 
en /www de tal modo que la estructura quede 
más o menos así: 


-- Directorio del archivo de configuración: 
/www/conf/httpd.conf 

-- Directorio de ejecución: /www/bin/httpd 
-- Directorio para alojar las páginas web: 
/www/hidocs 

-- Directorio de módulos: /www/modules 
-- Directorio para la definición de módulos 
dinámicos: /www/bin/apxs 


Hay más pero estos son los que nos interesan 
por el momento... 


Estas líneas instalarán apache en el directorio 
/www y creará los otros.... 


cd /Taller_snort/apache_1.3.29 (cambiamos al 
directorio donde están los fuentes) 

./configure --prefix=/www --enable-module=so 
make 

make install 


Ahora comprobemos si está habilitado la opción 
de módulo dinámico 


/www/bin/httpd -1I 


Y deberíamos ver varios módulos instalados, 
el que DEBE estar es: mod_so.c si no es así 


no podremos seguir, pero debe ser así “> 


NO TOQUES NADA más, el resto lo haremos 
cuando instalemos y configuremos PHP 


Puedes probar que funciona, eso sí... 
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wwwY/bin/httpd start 


Y ahora abre el navegador web que uses y accede a 
127.0.0.1 deberías ver la web “por defecto” 


Paramos el servidor web: 


Iwww/bin/httpd stop 
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Instalando PHP4 como módulo 
de Apache 


Necesitamos instalar PHP con soporte de 
Bases de Datos MySQL, Librerías Gráficas 
(GD support) y Socket Support 


Nos descargamos las fuentes de php en 
http://www.php.net/downloads.php 


Para Linux http://www.php.net/get/php- 
4.3.5.tar.gz/from/a/mirror 


Para Windows _http://www.php.net/get/php- 
4.3.5-Win32.zip/from/a/mirror 


Descomprimes el archivo php-4.3.5.tar.gz 
en el directorio de trabajo que quieras... en 
mi caso es /root/Taller_snort/php-4.3.5 


cd /root/Taller_snort/php-4.3.5 
./configure --wtih-mysql --with-gd -- 
with-zlib --enable-sockets --with- 
apxs=/www/bin/apxs 


Si mysq]l o las librerías GD, zlib... no están 
instaladas o no las encuentra, hay que 
instalarlas primero o indicar el directorio 
donde están, p.e. -with-mysql= 
/usr/local/mysql 


Si las librerías GD, zlib no las tienes 
instaladas, en la próxima sección te explico 
como se instalan, las colocas por ejemplo en 
/usr/local/lib/gd1.3 y /usr/local/lib/z- 
lib-1.1.3 y ejecutas el script ./configure 
apuntando a esos directorios, por ejemplo: 


./configure --wtih-mysql --enable- 
sockets --with-apxs=/www/bin/apxs Y 
--with-gd=/usr/local/lib/gd1 --with- 
zlib=/usr/local/lib/z-lib-1.1.3 


=> IMPORTANTE 


IMPORTANTE: Si ya tienes apache instalado y 
comprobado que acepta la configuracón de módulos 
dinámicos (DSO) mediante httpd —1 pero lo tienes en otro 
directorio, recuerda cambiar la opción --with- 
apxs=/[directorio donde tengas el archivo apxs] 
Normalmente ese archivo está dentro del directorio /bin 
de la instalación. 


Luego, lo mismo de siempre: make y make 
install 


Ahora tenemos que “tocar” el archivo 
httpd.conf de apache 


gedit /www/conf/httpd.conf (o utiliza otro 
editor de texto diferente a gedit) y añade 
estas líneas en la sección Addtype si es que 
no las tiene: 


AddType application/x-httpd-php .php .phps .php3 .phtml .php4 


Verifica que tienes una línea dentro de la 
sección Dynamic Shared Object (DSO) Support, 


LoadModule php4_module libexec/libphp4.so 


También sería bueno cambiar la línea 
Servername y ponerle la IP del host 
(172.28.0.200) y después: Guardamos los 
cambios. 


Para probar que todo fue bien, créate un 
archivo de texto con este contenido: 
<? 

phpintfo(); 

?2> 


Y lo guardas en /www/htdocs con el nombre 
index.php (por ejemplo) 


Iniciamos de nuevo apache: 
/www/bin/httpd start 


Ahora navega a la dirección 


http://172.28.0.200/index.php y deberías ver 
la página php que ofrece la función phpinfo( ); 
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Librerías zlib: 
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La gente de Windows.... no debe hacer eso... 
al menos no así, ya les llegará su hora. 


Instalando las librerías necesarias 


Librerías gráficas y compresión de archivos 
(necesarias pero seguramente incluidas) 


Lo más probable es que ya dispongas de las 
librerías y dependencias para archivos gráficos 
del tipo jpeg, png o gif... si no es así puedes 
bajar los fuentes, los rpm o los binarios para 
LINUX en: 


http://www.boutell.com/gd/ (no disponible 
en Windows, pero no te preocupes... nuestro 


amado Windows ya es capaz de manejar esos 
formatos de archivos “de fábrica”) 


Bueno LINUX también, pero por si acaso.... 


GD, necesita además otras dependencias: 


Librerías libpng: http://www. libpng.org/pub/png/libpng.html 
Librerías libjpeg: http://www.ijg.org/ 


http://www.gzip.org/zlib/ 


Como ya he dicho es muy probable que no 
necesites nada de eso y que tanto Windows 
como la distribución de LINUX que dispongas 
ya las tenga instaladas. 


La única librería que merece explicar “algo” 
sobre su instalación es libpng... yo me 
descargué la que en el momento de escribir 
este texto la versión 1.2.5 y el proceso de 
instalación es: 


Descomprimes el archivo tar en el directorio 
que quieras, por ejemplo 
/root/Taller_snort/Sources/linpng-1.2.5 


Una vez extraídos los archivos dentro de ese 
directorio se habrán creado varios archivos 
y otros directorios, busca y accede al directorio 
scripts: 
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Y saldrán varios makefíiles.??? Has de elegir 
el que corresponda a tu distribución o sistema 
operativo, en mi caso es makefíile.linux, lo 
copiamos al directorio anterior y le damos el 
nombre makefile 


Esto es porque estas librerías no 
disponemos del script ./configure, ya 
vienen los makefiles “hechos” por lo que sólo 
nos restará una vez copiado y cambiado el 
nombre crearlos con make 


Librerías phplot o JpGraph 


Necesarias si quieres utilizar ACID para 
generar gráficas estadísticas.... 


Phplot realmente no es una librería, es un 
script php, de momento lo bajamos y luego 
lo instalamos: 


http://aleron.dl.sourceforge.net/sourceforge 
/phplot/phplot-5.0rc1.tar.bz2 


Librerías JPGraph 


Las últimas versiones de ACID precisan de 
estos scripts PHP en lugar de los phplot, tanto 
unos como otros son programas PHP y tanto 
los que uséis Windows o LINUX tendréis que 
descargarlos si queremos usar ACID con 
herramientas gráficas. 


http: //www.aditus.nu/jpgraph/jpdownload.php 
Librerías ADODB 
Esta si que es IMPRESCINDIBLE, también 


son programas en PHP, no librerías... y los 
puedes descargar en: 


http://php.weblogs.com/adodb+*downloads 
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También podemos hacer una prueba para 
revisar que todo va bien... Abrimos el 
navegador y accedemos a esta dirección: 


La forma de instalar phplot, JPGraph y http://172.28.0.200/phplot/examples/test_ 
ADODB.... esto no son librerías, son setup.php 

programas PHP y hay que colocarlos en el 
directorio apropiado para que puedan usarse, 
lo vemos a continuación. 


Y deberíamos ver una pantalla parecida a esta: 


2 PHPlot graphic formats test - Microsoft Internet Explorer 


Archivo Edición Ver Favoritos Herramientas Ayuda 
2 € $ risues e raros Quino E) 2 ALE 
MbE 


Use this form to test many different options of PHPlot. You can test every graph type supported for any of four different 
data types, You can tweak as you like or you can leave everything as is and press "Submit" for 


This page will test which graphic formats are supported by the version of GD linked into PHP. You should see at least 
one of the four images below. 


PNG graphics 
YES_PNG_IS_ENABLED 


Para probar jpgraph puedes hacerlo así: 
http://172.28.0.200/jpgraph/Examples/testsuit.php 


Instalando ACID 


Como ya he dicho, si bajaste los archivos 
fuente de snort, en la carpeta ./contrib 
tienes una versión de ACID, pero puedes 
obtener las últimas revisiones en: 


http://www .cert.org/kb/acid/ 


La última versión disponible es la 0.9.6b23 y puedes 
descargarla gratuitamente en : 
http://www.andrew.cmu.edu/“rdanyliw/snort/acid-0.9.6b23.tar.gz 
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Antes de comenzar la instalación y 
configuración de ACID hay que verificar si 
en el archivo snort.conf (o el archivo de 
configuración que elijas) existe el plugin 
output database: declarado. 


Como estamos "trasteando” es posible que 
no esté correcto, imaginemos que la Base de 
Datos que queremos usar se llama testids 
y que no usamos nombre de usuario ni 
contraseña para poder conectarnos a ella, el 
archivo de configuración debería incluir esta 
línea: 


En host puedes poner la dirección IP del 
servidor donde corre MySQL o como en el 
ejemplo, localhost, que significa el "mismo 
equipo” en donde corre snort. 


Además debemos de disponer de esa misma 
base de datos creada y con la estructura de 
tablas y campos que snort utiliza, para ello 
puedes seguir los mismos pasos que dimos 
para SAM, los repito sin explicarlos... con la 
salvedad de comentar que el código fuente 
de snort está alojado en 
/root/Taller_snort/Sources/snort-2.1.1 
y ya sabes que dentro de la carpeta contrib 
está el script create_mysql necesario para 
crear la estructura de la Base de Datos, bueno 
y ya puestos.... lo haremos de otra manera... 
para aprender más cosas: 


hd root? linux-rh:-/Taller_snort 


Archivo Editar Ver Terminal Ir Ayuda 


[rootelinux-rh Taller_snort]* cp ./Sources/snort-2.1.1/contrib/create_mysql create_mysql 
[rootelinux-rh Taller_snort]* mysql 

Welcome to the MySQL monitor. Commands end with ; or Mg. 

Your MySQL connection id is 11 to server version: 4.0.18-standard 


Type 'help;' or '1h' for help. Type '1c' to clear the buffer. 


mysql> create database testids; 
Query OK, 1 row affected (0.00 sec) 


nysql> exit 

Bye 

[rootOlinux-rh Taller_snort]* mysql -D testids<create_mysql 
picotetimneia Taller_snort]+* 


GE 


Observa que en lugar de usarse source 
create_mysql; tras iniciar mysgl, 
simplemente creamos la base de datos, 
salimos del gestor y desde la línea de 


de la estructura de la 
Base de Datos testids 
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instrucción: 


comandos ejecutamos la 


mysql -D testids<create_mysql la única 
condición para utilizar este método es que la 
base de datos testids estuviese creada 
anteriormente como hicimos con create 
database testids; 


Por cierto, verifica el lugar donde se crean las 
bases de datos de tu gestor MySQL, en el mío 
están en el directorio por defecto en RedHat, 
/var/lib/mysql/testids 


También puedes obtener el archivo 
create_mysql desde aquí (También ACID) 


http://cvs.sourceforge.net/viewcvs.py/snort 
/snort/contrib/ 


Una vez descargado ACID (o desde la carpeta 
contrib de los fuentes de snort) lo copiamos 
dentro de algún directorio de nuestro apache, 
por ejemplo en el directorio acid que cuelga 
de /www/htdocs 


0 root linux-rh:/www/htdocs/acid 

Archivo Editar Ver Terminal lr Ayuda 
[rootélinux-rh contrib]* mkdir /ww/htdocs/acid 
[rootélinux-rh contrib]* ls 
ACID-0.9.6b21.tar.gz Makefile 
address_config.sh Makefile.am 

create_mssql Makefile.in 

create_mysql ms_unicode_generator.c 
create_oracle.sql mysql .php3 
create_postgresql Net-SnortLog-0.1.tar.gz 
fag2html passive0S.tar.gz snort2html.pl 
Guardian.tar.gz perfstats.c snortdb-extra.gz 
[rootelinux-rh contrib]* cp ACID-0.9.6b21.tar.gz /www/htdocs/acid/ 
[rootélinux-rh contrib]* cd /ww/htdocs/acid 

[rootelinux-rh acid]* tar vxfz ACID-0.9.6b21.tar.gz 

acid/ 

acid/acid_action.inc 

acid/acid_ag_common .php 

acid/acid_ag_main.php 
fecid/acid_app_faq-php 


snortlog 
snortnet.tar.gz 
snortpp.c 
snort-sort.pl 
snort_stat.pl 


pgsql.php3 
README 
regen-sidmap 
rpm 

S99snort 
sid-add 


Por si no lo ves claro en la pantalla, la secuencia 
de comandos es: 


snortwatch-0.7.tar.gz 
Spade-092200.1.tar.gz 


- 0% 


descomprimir ACID en 
mww/htdocs/acid 
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Dentro del directorio que nos creamos con 
mkdir acid, existirá “otro” llamado igual, 
acid... es decir la ruta correcta será 
/www/htdocs/acid/acid/.... 


Y dentro de ese último directorio acid, sólo 
existen archivos... el que nos interesa es el 
archivo de configuración de acid, que se 
llama: acid_conf.php Accedemos a él: 


Hay que modificar algunas líneas, veamos 
una a una con los valores por omisión que 
tienen: 


$Dblib_path = “”; Aquí tendremos que 
poner la ubicación exacta de adodbc, 


$Dbtype= “mysql”; es decir el gestor que 
queremos usar, se queda como está. 


$alert_dbname = “snort_log”; nombre 
de la base de datos de alertas, hay que 
poner: 


$alert_host = “localhost”; que será el host 
donde corre el servidor de MySQL, 


$alert_port = "”; que es el puerto por 
donde escucha MySQL, escribimos: 


$alert_user = “root”; el usuario con 
privilegios suficientes para acceder a la 
Base de datos, como no incluimos usuarios 
ni contraseñas, vamos a tener un problema... 


Otras variables muy parecidas a las que 
acabamos de describir son: 


$archive_dbname = “snort_archive”; 
$archive_host = “localhost”; 
$archive_port = “”; 

$archive_user = “root”; 
$archive_password = "mypassword”; 


Que permitirán mantener una copia de 
seguridad de las alertas con los parámetros 
que se especifiquen, por ejemplo ponemos: 


$ChartLib_path =""; aquí debemos poner 
la ruta exacta de las librerías phplot, es 
decir 


$chart_file_format = “png”; formato de 
ficheros gráficos, pueden ser gif, jpeg o 
png, como nosotros instalamos /libpng lo 
dejamos como está. 


Luego hay otras variables que permiten 
configurar el número de alertas, las filas y 
columnas para los resultados, el color de 
fondo, la rejilla, etc... estas las dejaremos 
como están y pasamos a: 


$portscan_file = “”; en el cual podríamos 
incluir el fichero de logs que crean los 
preprocesadores portscan y portscan2, 
normalmente se deja en blanco, pero si quieres 
verlo con el plugin aquí se indicaría la ruta 
hacia el archivo que generan los 
preprocesadores indicados. 


IMPORTANTE 


Estamos cometiendo un error GRAVE, ni usamos usuarios 


pero vamos a ponerlo y ya veremos: 


con contraseñas para las Bases de Datos, ni estamos 
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Asegurando el WebServer Apache, vamos que cualquiera 
podrá conectarse a la base de datos o al servidor y ver las 
alertas... y hasta eliminarlas... vamos “para nota”, 


También hay otras variables para especificar 
el mail al cual se deben enviar las alertas, 
bueno esas son muy sencillitas y ahora no 
son necesarias que las indiquemos para que 
funcione... 


Guardamos los cambios en el archivo de 
configuración de ACID.... y navegamos hacia 


la página: 
http://172.28.0.200/acid/acid/acid_db_setup.php 


4 ACID: DB Setup - Microsoft Internet Explorer 


Archivo — Edición Ver Favoritos Herramientas Ayuda 


Q us - 2] (2 € /visqueda Jl ravortos Gmutmeds E Dr aL) E 


Dirección [48] http://172.28.0.200/acid/acid/acid_db_setup.php sv Er vinculos 


ao DB Setup 


[Back] 


Warning: mysql_pconnect() Access denied for user: 'usuacidOlinwerh' (Using password: YES) 
in iwmwwhtdocs!adodb!driversladodb-mysql.inc.php on line 335 


Error (p)connecting to DB : testids(1W172.28.0.200:3306 


Check the DB connection variables in acid_confphp 


= Salert_dbnane 


MySQL database name vhere the alerts are stored 
= Salert_host ed 


host where the database is stor 

= Salert_port port where the database is stored 
= Salert_user usernane into the database 

= Salert_passvord passvord for the usernane 


a Y lo que nos esperábamos... un error de 
ACID con errores de autenticación 


autenticación , d 
Así que no nos queda otro remedio que crear 


el usuario usuacid con la contraseña 
mitesoro en mysql para que podamos 
seguir.... y ya puestos... también crearemos 
usuario y password para snort, que serán 
usuario:snort, contraseña: alibaba 


de usuarios y 
Contraseñas 


Arrancamos mysql y ponemos: 


bé rootO linux-rh:-/Taller_snort/Sources/snort-2.1.1 

Archivo Editar Ver Terminal lr Ayuda 

[rootelinux-rh snort-2.1.1]%* mysql 

Welcome to the MySQL monitor. Commands end with ; or Mg. 

Your MySQL connection id is 103 to server version: 4.0.18-standard 


Type 'help;' or '1h' for help. Type '1c' to clear the buffer. 


mysql1> grant all on testids.* to snort0172.28.0.200 identified by "alibaba”; 
Query OK, O rows affected (0.00 sec) 


mysql> grant all on testids.* to usuacide172.28.0.200 identified by "mitesoro"; 
Query OK, O rows affected (0.00 sec) 


mysql1> flush privileges; 
Query OK, O rows affected (0.00 sec) 


mysql> exit 
Bye 
[rootalinux-rh snort-2.1.1]% 
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http://172.28.0.200/acid/acid/acid_db_setup.php Y...... 


archivo 
/etc/snort/snort.conf y cambiamos: 


Luego editamos el 


(todo en una línea) 


Y guardamos el archivo de configuración. 


Realmente... 


Realmente cuando creamos los dos usuarios no hubiese 


sido preciso otorgar todos (all) los privilegios sobre las 
tablas de testids (testids.*) , nos bastaría con: 


mysql 
grant INSERT, UPDATE, SELECT, CREATE, DELETE 
on testids.* to usuacida172.28.0.200 identified by 


“mitesoro” 


grant INSERT, UPDATE, SELECT, CREATE, DELETE 
on testids.* to snort0172.28.0.200 identified by “alibaba” 


Jlush privileges; 


exit 


El caso es que probamos de nuevo con la 
dirección 


talla 23.Setup 
ACID correcto 


3 ACID: DB Setup - Microsoft Internet Explorer 
Archivo Edición Yer Favoritos Herramientas Ayuda 


La [2 € [visued Hz ravortos Brutimeds E Dr ALE 


> vínculos 


aco DB Setup : 


[Back] 


ACID tables — Adds tables to extend the Snort DB to support the ACID 


Create ACID AG 
functionality 


Search (Optional) Adds indexes to the Snort DB to optimize the DONE 
Indexes speed of the queries 


[Loaded in O seconds] 
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configuración de ACID 
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Y pulsamos en el botón Create ACID AG 


[Create ACID AG 


3 ACIO: DB Setup - Microsoft Internet Explorer 
Archivo Edición Yer Eswortos Herramientas Ayuda 
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Dirección e Http:/1172,28,0,200/acid/acid/acid_db _setup.pho 


DB Setup 


[Back] 


Successfully created 'acid_ag' 


Successfully created 'acid_ag_alert' 


Successfully created 'acid_ip_cache' 


Successfully created 'acid_event' 


RR o Status | 
DONE 


ACID tables Adds tables to extend the Snort DB to support the ACID functionality 


Search Indexes DONE 


(Optional) Adds indexes to the Snort DB to optimize the speed of the queries 


The underlying Alert DB is configured for usage with ACID. 


Additional DB permissions 
In order to support Alert purging (the selective ability to permanently delete alerts from the database) and DNSMhois lookup caching, the DB 
user "usuacid" must have the DELETE and UPDATE privilege on the database "testidsQ9172.28.0.200" 


Goto the Main page to use the application. 


[Loaded in O seconds] 


Ahora Pulsamos arriba a la derecha en Home 
y/o navegamos a la URL que tendremos que 
acceder a partir de ahora: 


http://172.28.0.200/acid/acid/acid_main.php 


proceso de 


3 Analysis Console for Intrusion Databases (ACID) - Microsoft Internet Explorer 


Brchivo — Ediión Yer Eavortos Herramientas Ayuda 
Qu-0- 1280 Pus Jrs Quina O O: AO 


Dirección 8] htp:J1172.28,0,200/acid/acid/acid_main.pho 


Analysis Console for Intrusion Databases 


Added 0 alen(s) to the Alert cache 


Queried on : Mon April 12, 2004 01:49:08 
Database: testids(0172.28.0.200.3306 (schema version: 106) 
Time window: no alerts detected 


Sensors: 1 Traffic Profile by Protocol 
Unique Alerts: 0. ( Ocategories ) TCP (0%) 

Total Number of Alerts: O 

+ Source IP addresses: 0 QUPÑA 
+ Dest. IP addresses: O 


+ Unique IP links 0 ICMP (0%) 


+ Source Ports: 0 

o TCP (0) UDP (0) 
+ Dest. Ports: O 

o TCP(0) UDP (0) 


Portscan Traffic (0%) 


+ Search 
+ Graph Alert data (EXPERIMENTAL) 


+ Snapshot 
+ Mostrecent Alerts: any protocol, TCP, 
UDP, ICMP 
+ Today's: alerts unique, listing; IP sre / 


+ Mostfrequent5 Alerts 


+ Most Frequent Source Ports: any, TCP ,UDP 


Principal de ACID 
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Intrusion Da (ACID) - Microsoft Int 


fydwo Edción Yer Esvortos Herramientas Ayuda 
Qu-0- 100 Pres Jero Queres E 2-2 0 10 


Cog [8 er: 172 28.0.200/ odian. gto > 


Analysis Console for Intrusion Databases 


Added 1 alen(s) to the Alen cache 


Queried on: Mon Apnl 12, 2004 01:58:46 
Database: testids3172 28.0.200:3306 (schema version: 106) 
Time window: [2004-04-12 01:55:30] - [2004-04-12.01:57:00] 


Sensors: 1 Traffic Profile by Protocol 
Unique Alerts:2 ( 1categories )  TCP:(50%) 
Total Number of Alerts: 2 


+ Source IP addresses: 1 bal ts 


» Dest IP addresses 2 
+ Unique IP links 2 


ICMP (50%) 


+ Source Ports: 1 
o TCP (1) UDP (0) 

+ Dest Ports: 1 

o TCP (1) UDP (0) 


Portscan Traffic (0%) 


+ Search 
+ Graph Alert data (EXPERIMENTAL) 


+ Snapshot 
+ Mostrecent Alerts: any protocol, TCP, + Mostfrequent5 Alerts 
UDP, ICMP ” 


a 


Me limité a un escaneo y a tentar el bug de 
unicode, también podemos usar esta url para 
ver los resultados o pinchar en los links de la 
página principal.... 


http://172.28.0.200/acid/acid/acid_stat_alerts.php 


Archivo Edción per Esvortos herramientas Ayuda 


Qu: 0-08 Pros frota Quen O SAO 


Alert Listin 


[Back] 


Added 1 alert(s) to the Alert cache 


Queried DB on_Mon Apr! 12, 2004020217 
feta ( 1a 


IP Criteria 


Layer 4 Criteria 
Payload Criteria Fl 


Displaying alerts 1-3 of 3 total | 


[a] 
D 


astemplediecon Ry 
250%) 


ICMP superscan echo 


SCAN Proxy Port 8080 attempt altempted.recon 1 
DO [CVE]WEB+Sunicode directory web-application-  1(25%) y 
traversal attemp attack 


Action 
(action) ho 


[Loaded in 0 seconds] 


Podemos seleccionar las alertas verificando 
las casillas correspondientes y pulsando en el 
desplegable que pone (action) enviarlas... 
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f action + 
ADD to AG (by ID) 
Add to AG (by Name) 
Delete alert(s) 

SCAN Proxy P1Email alert(s) (full) 


O 


[Ea] 


Y 


Pantalla 28.Filtado y 
Selección de alertas 


O filtrarlas.... navegando a la dirección: 
http://172.28.0.200/acid/acid/acid_qry_main.php 


2 ACID: Query Results - Microsoft Internet Explorer 
fychivo Edición Yer Eavortos Herramientas Ayuda 


Áco Query Results 
[Back] 
Added 0 alert(s) to the Alert cache 


any sensor) Y í 


[any Alert Group) Mi 


TOO 


[any Classification) Mi 


n (Encoding) «€ 


PP _— Sort order: O none| O timestamp (ascend)| O timestamp (descend)]| O signature 
Pantalla 29.Filtrado y 
Selección de alertas. 


[col 


De tal forma que “jugando” con las opciones 
disponibles podemos filtrar la información y 
por último pulsamos en Query DB... te pongo 
las dos pantallas: 


| Pantalla 30.Consulta 
de alertas 


Archivo Edición Yer Eovortos Herramientas Ayudo 
Qu -0-2 0 Pons frenos Guano O) 2-5 BOS 


Drección [48] heto://172.28.0.200/acidfacid/acid_qry_main.php. 


1 [1] 172 28.0.200:ethO + Alert Group 
(signature 8= 2222222 


web-application-attack 4 


y Type: (Encoding) «E 


IN order: O none] O timestamp (ascend)| O timestamp (descend)| O signature 


g): [Convert To) MIL 
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Hr 
9-00 Pomo Hermoso Gran O SL 6 OS 


Deección [48] eto:/1172.28.0.200/a0dfacid/acid_qry_main.pho 


“ar 


aco Query Results 


[Back] 
Added 1 alert(s) to the Alert cache 


Queried DB on: Mon April 12, 2004 02:13:29 


Sensor = [1] 172.28.0.200:eth0 ...clear... 
Signature Classification = web-application-attack ...clear... 


l. Sensors 
l+ Unique Alerts (classifications ) 
+ Unique addresses: source | destination 


le Destination Port TCP |UDP 
le Time profile of alerts 


Displaying alerts 1-1 of 1 total 


a 
2004-04-1201:59:01 17228.0.50:1662 172.28.0.200:80 TCP 
El 


Action 
[selected J [ALL on Screen ]([ Entire Query ] 


faction) ” 


[Loaded in 1 seconds] 


de las consultas 


Si pinchamos en AG Maintenance (arriba a 
la derecha) podemos crear grupos de alertas 
y mantener los mismos... también se puede 
hacer eso mismo navegado a la URL 


http://172.28.0.200/acid/acid/acid_ag_main.php?ag_action=list 


3 ACID: Alert Group (AG) Main! 


Archivo Edición Yer Eavortos EA 
Qu-0-1D0 Poma Jere Quema O SD 


Dsrección [48] rrtp:11172.28.0.200/9cid/acid/acd_ag_main.pho?ag_action=ist 


aco Alert Group (AG) Maintenance 


nce - Microsoft Internet Explorer 


list all | create | view | edit | delete | clear 


List groups 
There are no Alert Groups 


[Loaded in O seconds] 


ice - Microsoft Internet Explorer 


Archivo Edición Yer Eavortos Herramientas Ayuda 
Qu-0- 12d [rss Hreoros Quema E Q- 2 B LJOs 


Drresato [48] rrtp:11172.28,0.200/0cid/scad[acd_09.mai.php?8g_acton=creste 


A! 


aco Alert Group (AG) Maintenance 


list all | create | view | edit | delete | clear 


Mi primer grupo :P. 


ption [Esto es una prueba... .| 


Create Alert Group] 


de Grupos 


El uso de grupos nos permite mantener 


juntas determinadas alertas, por ejemplo 


si estamos interesados en tener juntitas todas 
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las alarmas y registros de determinado tipo Si quieres asegurar “un poquito más” el acceso 
de intrusión , en fin, no deja de ser una a las páginas de ACID, puedes hacer lo que 
“aplicación web” sencillita en el uso... lo que sigue: 

hace fuerte a ACID es su integración con 
snort, con Apache, con MySQL y claro... 
un mantenimiento apropiado.... pero eso 
dependerá de ti. 


Hay que “practicar” para sacarle partido y 


probar... lo importante es lo que ya hemos Con esto acabamos de asociar la contraseña 
aprendido, configurar snort.... ACID no deja acid4mi al usuario admin. 
de ser una forma más de ver los resultados... 


Ahora hay que modificar el archivo de 
configuración de apache 


Y añadimos las siguientes líneas en la sección 
correspondiente: 


Uyy!!! Casi se me olvida... los gráficos.... 
que para eso los instalamos... 


Accedemos a la dirección: 
http://172.28.0.200/acid/acid/acid_graph_main.php 


2 ACID: Graph Alert Data - Microsoft Internet Explorer 
Archivo Edición Yer Esvortos Herramientas Ayudo 


Qu-0- 1 [ras Hrs Qruns E 2-2 A LOs 


Después reinicia el servidor web 


Graph Alert Data 


[Back] 


Ahora cuando se intente acceder a cualquier 
página dentro del directorio de acid, nos pedirá 
la contraseña para el usuario admin. Antes de 
mostrar dicha página, el pass era acid4mi 


Added 2 alert(s) to the Alert cache 


Chart Title: ACID Chart 00 J ] 
Chart Type: (chart type) Y ChartPeriod: no period E) 

Size: (width x height) 400 Ex0400 | Graphtype: Obar Othinbar O line 

ChartBegin: 0 “Ml íday (month) Ml (year 


ChartEnd: [0 Mita) %[tmon) MI tyean [_Graph Alerts 


XAxis 


Y Axis 
Data Source: | ( data source (AG)) y] 

Minimum Threshold Value (>=): 0 (UU Rotate Axis Labels (90 degrees) [1] Y-axis logarithmic 
Display X-axis label every 1 data points 


A 401 Authorization Required - Microsoft Internet Explorer 


Qus- O (a 2% /[visuede Je rarortos QU vutimeda E) (3-2 


¡ón [4E] http://172.28.0.200/acid/acid/acid_main.php ¡Sr 


Authorizatior 


Y tras seleccionar los periodos correctos - 

as This server could not verify th E H. Either you supplied the wrong 
veremos el gráfico... pero te recuerdo que lo credentials (e.g, bad passwor] the credentials required 
principal está aquí: 


| Generación de 
Gráficos 


Apache/1.3.29 Server at 174, e0tol de acceso para ACID 


Usuario: el 


http://172.28.0.200/acid/acid/acid_main.ph 0 NENE 


Decordar contraseña 
Y a través de ese link podrás ir “navegando” 
por ACID, no todos los links aparecen 
subrayados, unos están en amarillo, otros en 
azul... pero bueno... eso es “Navegar”... 


Canes 
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Bien.... y nos queda Windows.... mmm, para 
, te propongo una cosa: 


Y ahora veamos una herramienta específica 
de Windows, MUY BUENA y GRATIS.... se 
llama: IDS Center para Windows. 


IDS Center para Windows 


Una de las formas más sencillas de configurar 
snort para Windows es usar IDSCenter. 


No se trata de un plug-in, es un entorno 
gráfico para configurar snort de forma 
centralizada desde una misma aplicación, un 
front-end, lo puedes descargar de: 


http://www.engagesecurity.com/downloads 
/idscenter/idscenter1 1rc4.zip 


Y otras herramientas también en: 


http://www.engagesecurity.com/downloads 
[+tidscenter 


Sus principales características son: 


> Soporte para versiones de snort 2.0, 
1.9y 1.8 


b Control de snort como servicio 
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> Configuración gráfica de variables, 
preprocesador, plug-ins de salida y 
reglas 

> Editor de reglas 

> Plug-ins especiales para interactuar 
con Firewalls como BlacklIce y otros 
> Notificación de alertas y alarmas 
sonoras, mail, etc. 

> Rotación de logs y Acceso a Bases de 
datos (MySQL, Postgre, Oracle, SQL 
server... 

b Visores de texto, HTML, XML 
> Posibilidad de ejecutar programas 
determinados cuando una alerta es 
detectada 

b Actualizaciones on-line de reglas, 
snort inline, 

> Incluir las alertas como registros 
dentro del visor de sucesos de Windows 
b Soporte para otros plug-ins como 
ACID, SnortSnarf y Webmin 


Antes de instalar IDScenter, vamos a 
retomar uno de los ejercicios que hicimos 
anteriormente, para ello nos creamos un 
fichero de reglas con este contenido y lo 
guardas en: 
C:1snortYrulesYmis_reglas.rules 


archivo de reglas. 
Mis_reglas.rules 


E mis_reglas.rules - Bloc de notas 
Archivo Edición Formato ver Ayuda 


a a g: "Buscando porno"; content: " 
alert tcp $HOME_NET any -> SEXTERNAL_NET 80 (msg: "CORREO Hotmail”; content: ' 
alert tcp $HOME_NET any -> SEXTERNAL_NET 80 (msg: "CORREO webmail"; content: "webmail"; ) 
alert tcp $HOME_NET any -> SEXTERNAL_NET 80 (msg: "CORREO yahoo”; content: "mail.yahoo";) 
alert tcp $HOME_NET any -> SEXTERNAL_NET 80 (msg: "SUPER HaTxOr"; content: "hack";) 

3 "CRACKER"; content: "crack";) 


archivo de 


Ahora vamos a crear el 
configuración y lo guardamos en 
C:1snortletc1mi_snort.conf 


3 


RR TES 
Archivo Edición Formato Yer Ayuda 
var HOME_NET 172.28.0.0/16 
war HTTP_PORTS 80 


ut database: log, mysql, dbname=idstest host=l0calhost 
ude $RULE_PATHwmis_reglas.rules 


Observa que hemos incluido output database: 
es decir, necesitaremos que MySQL esté 
corriendo y acceso a esa Base de Datos... 
pero no deberías tener problemas, porque es 
la misma que usamos con SAM, 


archivo de 


configuración. 
Mi_snort.conf 
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Start Smort 


Reset alarm 
Open logs folder 


También recuerda cambiar el contenido de la 
variable HOME_NET por el rango de 
red/subrerd que usas. 


Ahora Instalemos IDS Center para Windows, 
la instalación.... mejor ni la comento, las 
pautas de siempre... ejecutar el setup del 
programa y Siguiente-siguiente-siguiente... 


En el escritorio 
aparecerá un acceso 
directo a IDScenter 
y cuando lo ejecutes 
aparecerá otro icono 
más en la bandeja 
del sistema (ese 
negro con la banda 
roja) 


View alerts 


37. Configuración de 
IDSCenter 


a Opciones | 
disponibles para 
figurar IDSCenter 


IDScenter 1.1 Ri 
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Al pulsar el botón 
derecho del ratón 
sobre es icono, verás 
el menú contextual 
de IDS Center como muestra la pantalla. 


Para configurar IDS Center hay que 
seleccionar Settings... 


El uso de TDS Center es muy simple, en la 
zona izquierda tenemos una serie de 
fichas que incluyen diferentes opciones para 
configurar a snort, a continuación te pongo 
una pantalla con las opciones disponibles: 


IDScenter 1.1 RQ IDScenter 1.1 RC 


O Slot Sno 


IDScenter 1.1 Ri 
CENSO 


IDScenter 1.1 RC 


Wizards 
Faros 
Network variables 
es. 


Preprocessors 


Basta con ir pinchando en cada una de ellas 
y se irán desplegando sus contenidos. 


En la zona superior de IDS Center Tenemos 
las herramientas para iniciar snort (o detenerlo 
cuando está en marcha), el visor de alertas, 
Resetear las alarmas, test de configuración, 
recargar el sistema y Aplicar (Apply) los 
cambios efectuados. 


a la 39.Detall de 
la zona superior. 
IDSCenter 


IDScenter 1.1 RC4 
MO Start Snort 


E) View alerts | 1% Resetalam E, Test settings Y Reload «e Apply 5) 


Empezaremos por General que además 
será la primera pantalla que apareció cuando 
pulsamos en settings desde el icono de la 
bandeja del sistema. 


Disponemos de 4 opciones dentro del mismo. 


Para indicar el la 
ruta al 
ejecutable de 
snort, si ha de 
correr como 
servicio o en 
modo consola, la prioridad del proceso (Normal, 
alta o tiempo real) Si deseamos iniciar snort 
junto con Windows al inicio, el camino hacia 
el archivo alert.ids, formatos para los visores 
de logs (HTML, XML, Estándar). 


Configuration 


antalla 40. Opción 
Configuration de 
IDSCenter 


Usaremos la misma configuración que se 
muestra en esta pantalla: 


IDScenter 1.1 RC4 
MO Start Snort 
General 


9 (GSnort2x O Snort1.9/1.8 O Snort1.7 


Configuration 


Al View alerts M1. Reset alarm 17] Test settings U Reload 


General » Configuration 


Registry key suffix (for running multiple IDS center): 


14 


Process priority Autostart options 


El 


[] Snort service mode 
Snort options — | [4] Show Snott console y Start IDScenter with Windows 
Minimized Snort window ORealime [O Start Snort when IDScenter is started 


n= Y] Dont restart Snort, if it is killed 
I E 

Log folder 

Set a logging directory and standard log file 
CAASnortiMoglalert.ids 


Activity log 


Alert log viewer 


Generate HTML report based on database logs 


(5) Use intemal log viewer 


(2) Standard log file 
O Explorer URL (HTML report file, ACID, SnortSnarf) 


(O XML log file 


O Extemal viewer/editor for logfiles 
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| + El Save O Reload 


A h o r a 
» seleccionaremos 


wr 


Snort Options, lo 
más importante de 
esta opción es 


Snort options [indicar ta 
ubicación del 
archivo de 


configuración, además en la zona central 
verás el contenido del mismo “modificado” 
por IDSCenter, le pone una serie de 
comentarios (+) y lo organiza por secciones. 


Puedes navegar por la estructura de 
directorios del disco duro si pinchas en 
esto valdrá para otras muchas opciones. 


También podemos modificarlo directamente 
e ir configurando allí snort... pero espera no 
lo hagas... también podemos usar la barra 
de herramientas que hay embebida en la 
pantalla para buscar información (la lupa) 
recargar el archivo o salvar los cambios 
efectuados. 


- Pantalla 41. Snort 
options de IDSCenter 


En nuestro caso lo que tenemos que hacer 
es indicar la ruta correcta y el nombre del 
archivo de configuración que como ya lo 
tenemos creado se llama mi_snort.conf 


IDScenter 1.1 RC4 


WD Star Snort 
General 


9 


Configuration 
e] 
Snort options 


Activity log 


2) View alerts 


12 Reset alarm (E, Test settings 
General - Snort options 


Configuration file (Snort.conf, -c): 


F 2 Lontigure preprocessors 

$ 3) Configure output plugins 

$ 4) Customize your rule set 
Hnannnaanntannnnanannaanntanannanancnann tana 


Hannnennnnnnanannnananannnan nana nana nan 
$ Step $11: Set the network variables: 

$ You must change the following variables to reflect 

$ your local network. The variable is currently 

$ setup for an RFC 1918 address space. 

HORNO RNORNNNNNANONONANARNANOANNANAIR ANA 
var HOME_NET any 

var HTTP_PORTS 80 

var EXTERNAL_NET any 

var RULE_PATH C:Asnortwules 


Henqueneoniannononnoonennoaneanonaonnonnonoonosnonna ae 
$ Step $3: Configure output plugins 
4 


$ General configuration for output plugins is of the form: 
$4 


$ output <name_of_plugin>: <configuration_options> 
Extemal editor: 
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Ahora seguimos 
bajando... y 
pulsamos en 
Activity Log. Aquí 
podemos 
monitorizar 
mediante sucesos 
la propia actividad de IDSCenter, estos 
logs no tienen nada que ver con snort, 
sólo informan de las veces que se ha iniciado 
IDSCenter, las horas, las paradas, los accesos 
a las bases de datos, etc.. La pantalla central 
tiene tres fichas de configuración, puedes 
probar con ellas, son fáciles de entender y 
para esta práctica no es relevante su contenido. 


Activity log 


Enable activity logging 
General events | Alert events | IDScenter service events 


IDScenter started / stopped Configuration applied 


Snort started / stopped 


X Clear log 


Purge activity log when reaching 
19 [| events 


La última opción es 
Overview.. que 
ahora no contiene 
nada... y mejor que 
así sea siempre, 
porque en esta 
pantalla se 
mostrarían los errores de configuración si 
los hemos cometido y también a modo de 
indicación, nos muestra la orden que 
deberíamos teclear en la línea de comandos 
en el caso de usar la shel! para arrancar snort. 


Overview 


Vamos por la segunda ficha de menús... Ficha 
de Wizards 


Esta es una de las más importantes, por no 
decir la fundamental, puesto que a través de 
la misma daremos plena funcionabilidad a 
snort, prácticamente todo lo que hemos hecho 
durante estos tres meses con snort, se 
desarrolla aquí. 


Lo primero que nos 
encontramos es 
con esta opción, en 
ella podemos 
definir las 


42 Fichas 
disponibles en 
Activity Log 


Página 55 


Seguridad - IDS (III) - Seguridad - IDS (III) - Seguridad - IDS (II) - 


variables que usará snort, incluso podemos 
modificarlas, borrarlas, añadir otras nuevas, 
vamos es como si fuese un editor de variables. 
Como ya tenemos alguna que otra creada, 
nos aparecerán en la zona central, como 
muestra el ejemplo. 


Wizards - Variable configuration wizard 


Variable name IP Address/Range ++" New variable 
HOME_NET any +) Edi var 
HTTP_PORTS 80 REMO 
EXTERNAL_NET any XX Delete variable 
RULE_PATH C:Asnortvrules 


lla) 
E 


Pulsamos más 
abajo... en 
Preprocessors... 
Como te puedes 
imaginar en esta 
ficha podemos 
configurar las directivas del 
preprocesador que queramos aplicar, te 
remito al artículo del mes pasado donde se 
explicaban con detalle cada una de ellas, en 
la parte central de la pantalla, tenemos asu 
vez fichas para configurar los preprocesadores 
streama, frag2, protocolos y miscelánea. 


de sort por 
IDSCenter 


para preprocesadores 
streamd y frag2 desde 
IDSCenter 


Directivas para los preprocesadores 
Stream4 y Frag2 


Streamá and Frag2 | Protocol preprocessors || Portscan detection | Misc | 


Streamá: Stateful inspection/stream reassembly 


Detect scans (recommended) [] Detect state problems (noisy) 

[Keep session statistics [ Disable stateful inspection (not recommended) 
M Flat log [ Disable evasion alerts 

[ Log flushed streams 


Timeout (s, 30); 30 
Memory usage (Bytes): 1000000 


Minimum TTL of packets (1): 
TTL limit (+2- min_ttl, 5) 


Streamá tcp stream reassembly directive 
Default settings: client only, ports default, alerts 
Client side Server side [No alerts from Streamá (not recommended] 
Ports [space separated): | 


Ports default: 21 23255380 143110111 513 


Frag2 defrag 
Timeout (s, 60): 30 Minimum TTL of packets (0): | 
Memory usage (Bytes) 1000000 


TTL límit (+/> min_t1, 5) | 
Detect state problems 
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Directivas para el preprocesador de 
protocolos, IP, http, Telnet, FTP, RPC, fnord... 


o 
| Streamá and Frag2 | Protocol preprocessors | Portscan detection | Misc | 


IP protocol conversation (TCP,UDP.ICMP traffic) 
Allowed protocols (all | list) H of supported conversations at once: 


Conversation timeout: 
[D Alert on protocols not listed in allowed protocol list 


[HTTP decode preprocessor 
Ports (80): 


Telnet/FTP decode 

[DJ ASN1 decode (SSL, SNMP, x.509, etc.) 
[]] Polymorphic shellcode analyzer (Fnord) 
[OD BackOrífice traffic detection 

Default key $ (default: 31337): 


RPC decode (normalize RPC traffic) 
Ports (111) 111 


Alert on fragmented packet 


[O Multiple RPC requests/packet 
[] Fragmented size exceeds current packet size 
[ Single segment exceeds current packet size 


Dont alert or 


Las fichas de PortScan detection 
(preprocesadores portscan y portscan2) 
y la de Misc (preprocesador ARP spoofing) 
aunque muy interesantes no son relevantes 
para este ejercicio. 


Directovas para 
preprocesadores de 
protocolos desde 


IDSCenter 


Continuamos 
bajando... y 
pinchamos en 
Output Plugins, 
aquí aparecerán 
los plugins de 
salida que tengamos construidos, también 
podemos generar otros nuevos o modificar 
los existentes con las herramientas Add, Edit, 
delete., etc que nos ofrece la misma pantalla. 


de salida desde 
IDSCenter 


IDScenter 1.1 RC4 
MD Start Snort 


7) View alerts | 12 Resetalam «e Apply 


Wizards - Dutput plugi fgur: 


(E, Test settings O Reload 


[E output database: log. mysql dbname=test2 host=localhost 
Vartors 
Network variables 


Forrnns 


Preprocessors 


ET Edt Mi Delete Name of ruletype: O Alert 


y 
E ÓLog O Create type 
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Seguimos dentro de 
Wizard, pero le 
toca a Rules/ 
Signatures. 


Te lo imaginas, lo 
sé... sé que eres 
aplicado.... Efectivamente esto es para 
“manejar” el archivo de reglas y/o incluir 
las reglas directamente. 


Entre las cosas más importantes que tenemos 
que hacer aquí es la de indicar cual va a ser 
nuestro archivo de reglas y dónde debe ir a 
buscarlo snorft... 


Edit MX Remove 4] Ruleset editor 
C:ASnortirulesimis_reglas.rules => 


Rule file(s] 
C:ASnortirulesimis_reglas.rules 


Incluso podemos incluir más de uno... pero 
no queda sólo ahí... esto es mucho más 


configuración de snort POTENTE!!! 


desde IDSCenter 


Vamos ha hacer doble-clic sobre la regla 
que se muestra verificada, pero no en la 
casilla de verificación... SOBRE el nombre... 
y verás esto: 


eleccionar y 
modificar reglas desde 
IDSCenter 


IDScenter Ruleset management 


Signature h Sic IP | Dir. | Dat IP 
Acceso a puertos elevados SHOME_NET > SEXTERNA, 
O Acceso a puertos elevados SHOME_NET SEXTERNA. 
Buscando sexo O SH ET | any SEXTERNA 
Buscando pomo SHOME_NET : SEXTERNA. 
CORREO Hotmail SHOME_NET SEXTERNA, 
CORREO Webmail SHOME_NET SEXTERNA... 
CORREO yahoo SHOME_NET _ SEXTERNA... 
SUPER HaTx0r SHOME_NET : SEXTERNA. 
CRACKER SHOME_NET z SEXTERNA. 


Ir 


ES? Add/edi rule X Delete rule(s) 
Filename: C:Snortulesimis_reglas. rules 


3= Inverse selection Y) Import 
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Y IDScenter - Rule wizard 


Aquí puedes modificar la opción action, 
protocolo, red origen, puerto origen, 
dirección, red destino, puerto destino y 
opciones de contenido y flujo, vamos lo 
mismo que hacíamos en el mes anterior con 
el bloc de notas pero con interface gráfico... 
sólo hace falta pulsar, hacer doble clic, en 
la regla que queramos modificar o quitar la 
verificación de las casillas y no se tomará en 
cuenta la regla, pero no se borra. 


También podemos incluir, borrar, insertar, 
importar nuevas reglas... manejo de reglas 


desde IDSCenter 


ES Add/edit rule X Delete rule(s) 
Filename: C:XSnortwulesimis_reglas rules 


a) 


Y) Import Y Reload ruleset 


E Save ruleset 


PERO HAY MAS.... ALGO MUY UTIL!!! 


Pongamos que deseamos modificar y 
personalizar una de ella, por ejemplo la de 
Sexo... 


Así que pulsamos dos veces sobre el nombre 
Buscando sexo (no sobre la casilla de 
verificación, sobre la regla en sí misma) 


enjJjes 
Protocak [top | 


y] Direction: 


Name: Buscando sexo 
Action Source address (address/CIDR]: 
Oaáler  Olog SHOME_NET y] [any 
OActivate O Dynamic Destination (address/CIDA): - Destination port: > 8 
Obs SEXTERNAL_NET y] [so E] 


Source port: 


Main options | IP packet | Dihers | Explorer | 


Snort unique ID: Revision: Priority: Classtype: 


“Y Add 
Eo Edit 
XX Remove 


9? Browse pe 


Double-Click on an ¡tem to browse 


Reference: 

Format: <system.id>, Example: cve,CAN-2002-0013 
System: bugtraq, cve, arachnids, mcafee, nessus, url 
Log to this file: 


Content | Advanced content matching 


Rawby... Not Type 
Content 


_ Offset Depth Noc.. Re. 


«* Add / Set ++ Edit XX Remove 
Type: | | [Not Content/Fie: 


[Regex allow" and ? wildcards] 
[DO No case sensivity Offset: Depth: 
| [DD Raw bytes option 


“3 Add newrule | «s" Updaterule | () Reload rule X Clear 


Tenemos control TOTAL de todas las 
opciones para esa regla en particular, podemos 
cambiar sus parámetros y con ello el 
comportamiento de snorft... observa que dentro 


total del contenido de 
reglas desde 
IDSCenter 
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de la misma pantalla hay varias fichas, es 
muy, muy potente y fácil de configurar si 
sabes de lo que va cada cosa... y te recuerdo 
OTRA VEZ que lo que significa cada una de 
esas opciones las vimos el mes pasado con 
todo lujo de detalles. 


Por ejemplo, algo que ya sabemos y que 
hemos usado en otros ejercicios.... 


Tal y como está definida la regla, sólo alertará 
de que alguien accede a páginas de sexo 
pero no “cortará” la comunicación, si 
deseamos que lo haga, pincha en la ficha 
que pone Others y en el apartado FlexResp 
verifica si “matamos” la comunicación desde 
el que lo envía o desde el que lo recibe... 
como se muestra en la siguiente pantalla: 


> Modificación de la 
regla desde 
IDSCenter 


Y IDScenter - Rule wizard 


Source address laddress/CIDRI EN 
[SHOME_NET Y! (any ml 
Destination [address/CIDR): 
[SEXTERNAL_NET—— pm [sn E 


Oaler  OlLog 
O Aoctivate O) Dynamic 
OPass 


pora, 
Main options | IP packet | Others | Explorer 


RPC 
Applicatiorr 


FlexResp 
TCP-AST to sending socket [7] ICMP net unreachable 

TCP-AST to receiving socket [7] ICMP host unreachable 
React (block) [DJ ICMP Port unreachable 


Procedure (* allowed) 


Version (* allowed): 


Logging 
BD Logging session 
Gal  OPrintable Type 


DO Tag (log additional traffic only) 
Metric 


+3 Add newrule | «s" Update rule O Reload rule X Clear 


Una vez hechas las 
modificaciones pertinentes, 
pincha en Update rule (en la 
zona inferior de la pantalla) y 
te saldrá un cartelito advirtiendo 
de los cambios efectuados: 


Information 


dy 


Selected rule was updated 


Lo] 
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las 
ventanas que se abrieron y te 
volverá de nuevo a preguntar 
si deseas guardar los 
cambios... le dices que Yes 
y regla modificada y archivo 


Luego ves cerrando 


Information 


de reglas actualizado “Y 


La última opción 
de Wizards es 
Online Update, 
esto te permite 
parchear snort, 
bajarte nuevas 
reglas, hacer copias de seguridad de las 
mismas, etc... Lo dejo para tu propia 
investigación porque tampoco tiene mucho 
misterio. 


Ahora pasemos a la siguiente ficha del menú... 
Vamos por la Ficha Logs 


Sólo tiene dos opciones (Options y log 
rotator) 


En options 
puedes 
configurar lo que 


serían las 
opciones de 
línea de 


comandos de snort, es decir, aquello de 
=-d -e -1 -c, etc.. 


Observa que tras la casilla de verificación suele 
haber una indicación de la equivalencia, por 
ejemplo Decode link layer equivaldría a 
teclear snort -e, y así con todas 


[D Activate Snort inline configuration mode 


Packet logging options 


Dump application layer (-d) [DJ IP option length validation 
[O Payload: Character data only (-C) 
[O Dump raw packets (X) 

Snap length (1514, -PJ: 


[O Filters (F, Berkley packet filter syntax) 


Network settings Ass 
Home network (-h, disables your HOME_NET setting): | y 


Network Interface $ (1 3 


de línea de comandos 


Packet logging and network options | Preprocessor settings | Output plugins | Rule options | 


Disable alerts generated by 


[O Disable packet logging (Alerts still work, -N) [O Decode phase of Snort 

O Experimental TCP options 
Decade link layer headers (-e) [O Obselete TCP options 
[E Dump 802.11 management and control frames (-w) [OD T/TCP alerts 

[OD TCP options length validation 


Y Update lists 


desde IDSCenter 


tE 
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Pantalla 53. Rotación 
de logs 


Logs - Log rotation 


Target folder: 


Log rotation 
O Daily 


Next rotation: 
Last rotation: 


Enable log rotator 
C:ASnortiRotaciones lic) 
Show rotation progress 


Y seguro que ya lo has notado.. Pero hay 4 
fichas en la pantalla central, prueba tú 
mismo con ellas que son “pocas y cobardes”, 
vamos que están chupadas a estas alturas. 


Para finalizar con 
Logs, tenemos 
Log Rotation. 


Es útil porque 
podemos decidir el tiempo de circulación 
y existencia de los archivos de registro 
en el PC, por ejemplo podemos explicar a 
snort que guarde un histórico de alertas y 
logs semanalmente cada domingo en un 
directorio concreto del disco, que no debe ser 
el mismo de logs, es la única salvedad. 


(O Weekly, Sunday 1 


O Monthly (last day) 
OsSetintewal [0 [e] days) abril de 2004 [EM 
lun_mar_mié jue vie sáb dom 
— AAA 14 122 3 4 
a o jajo Ej 515 6 7 HH 9 101 
16|12 13 14 15 16 17 18 
Today: 17|19 20 21 22 23 4 25 
08/04/2004 0:44:06 18| 26 27 28 29 30 
Next rotation would be on: 19 
11/04/2004 0:00 (hoy: 08/04/2004 


11/04/2004 


Nos quedan dos fichas... bueno una... por 
que la de Explorer se explica por sí misma Y 


La ficha de Alerts en la zona izquierda, tiene 
tres opciones: Detection, notification y 
Mail 


Estas opciones nos servirán para configurar 
IDSCenter y que emita sonidos cuando se 
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produzcan alertas, o nos envíe un mail, ejecute 
un programa determinado, monitorizar el 
acceso a la Base de Datos, etc... 


No nos detendremos en ellas, son fáciles de 
configurar y no debes tener problemas en ello, 
te pongo unos ejemplos. 


IDScenter 1.1 RC4 


MW Star Snont Y Reload 


(5 View alerts M4. Reset alarm £ Test settings 
Alerts - AlertMail configuration 
(v] AlertMail 
SMTP server: From: 


mail. hxc.com alerta snort 
Alerts To (e.x.: security Scomany. com;adminScompany.com): 

victhorMhxc.com 

Message (optional): 


Alert detection 


Sending interval: 
5 [2] minutes 


Hay Intrusos, revisa los logs 


Sl 


[db:SELECT timestamp, hostname,sig_name, ip_stc, ip_dst, ip_proto FROM sensor,event, signature iphdr WHE | 


Attachments: 


8) 
2) Addalertlog 15 X 


E] 
[Y Activate AlertMail database queries 
0 


| C:ASnortiogralert.ids 


(Overvew(last15] 8] => Insert 


DNS resolving of IP addresses 


(Add last $ ines of alert log: 


Log SMTP sessions: 


5] View smtp log 


3] Cancel mail sending 


Y Test AlertMail 


IDScenter  AlertMail configuration 


Seguro que esta última pantalla de resulta 
algo más costosa de entender... nada... no 
tiene misterios, enviaría un mail a la 
dirección indicada adjuntando el archivo 
alert.ids y con la consulta a la base de 
datos, es tan simple como pinchar en 


Insert Y 


Es mejor que por el momento no uses al 
servicio de alertas externas de esta ficha, 
normalmente esto se configura al final en 
entornos de producción y una vez que todo 
funciona como queremos se implementan, 
pero en “fase de pruebas” no es muy útil 
disponer de esas funciones hasta que todo 
ruede fino, fino. 


Así que para esta práctica las deshabilitaremos, 
más tarde ya harás tus ensayos... 


Una vez que todo está terminado, 
pincharemos en Apply (parte superior de 
la ventana) 


IDScenter 1.1 RC4 


Alerts - AlertMail configuration 


MO Star Snort E] View alerts M2. Reset alarm E) Test settings Y Reload [5] 


[ . Aplicarlos 
cambios efectuados 


ES 
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Y si todo fue bien en la barra de estado de 
IDSCenter verás esto: 


| enter — Configuration applied successfully 
o —— 


cambios fueron 


Pero puede ocurrir que haya errores en la 


PICOS implementación... entonces los verás en 


correctamente y short 


Overview dentro de la ficha de General... 
puede ejecutarse 


Overview - Configuration extoes 


Configuration errors: 

> Configuration: Snort executable He not found 

b Snort options: Configurabon file mat found [Snort.conf by defauk) 
b Log rotatior: Target directory for log rolation was no! specihed 


Sriet commandine: 
CAS nortibinksnort exe -c "CAS nodveteliri_snort.conf* 4"CASnortWog" A fast 12 -d e -y -2 


<ÁÓ Copy to cipboaid 


Alarm sound: on 
E-Mal alerts: off 
Execute Application when receiving alert: on 


Como ves en Configuration errors se 
muestran los errores encontrados, en este 
caso tres errores que habrá que subsanar... 
pero no será nuestro caso si has seguido 
punto por punto la configuración que se ha 
explicado. 


produjeron errores en 
los cambios. Hay que 


subsanarlos 


También en la pantalla de Overview puedes 
ver cómo quedaría la línea de comandos 
de snort si la hubiésemos tecleado desde 
la shell... 


58, Línea de 
comandos que será 


ejecutada 


Snart commandine: 


CASnortibinisnort exe -c "CAS modeteliri_snort. conf" 4 "CAS nortWog"" A fast 42 de y -2 


Ahora sólo nos falta ponerlo en marcha... 
desde la shell o desde el mismo 
IDSCenter... 


IDScenter 1.1 RC4 


(HP 


View alerts 12 Reset alarm £) Test settings Y Reload 


n= _ General - Configuration 


Y aparecerá... 
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WSnortibinisnort.exe 


O Dynamic rul 
Pr rrrrrrrrerrrrrrrrrrrrrrrrrrrrrrr rr. 


shol1ding-configl 


nory-cap : 1848576 


sholding-global] 


ing-locall 


e application order: ->activation->dynamic->alert->pass->log 


Initialization Complete 


111N32 <Build 24> 
20M, 4WwWW.Ssnort.org) 
www.datanerd 
raftconsulta 


Lo que significa que snort está a la espera y 
rodando.... Y 


Pantalla 60. Ejecución 
de la consola de snort 


Luego vemos las alertas y logs pinchando 
en View Alerts 


Alertas desde 
IDSCenter 


IDScenter 1.1 RC4 
o Start Snort A. Reset alarm £ Test settings 
FER tardes Res configuration wizard 


ES Edit X Remove 4) Ruleset editor 


OU Reload 


d 
2 DScenter - Alert log viewer 


A Print Y Update te reset alarm. 
File log | HTML/Web log 


y») 
04/07-18:59:06.339657 ["] [1:0:0] CORREO yahoo [*] [Priority: D] (TCP) 217.124.57.79:1104 -> 195.53.49.73:80 
04/07-18:59:06.351507 [*] [1:0:0] CORREO yahoo [*] (Priority: O] (TCP) 217.124.57.79:1105 -> 195.53.49.73:80 
04/07-18:59:07.194781 [*] [1:0:0] CORREO yahoo [*] (Priority: D] (TCP) 217.124.57.79:1104 -> 195.53.49.73:80 
04/07-18:59:07.195042 [*] [1:0:0] CORREO yahoo [*] Priority: O] (TCP) 217.124.57.79:1105 -> 195.53.49.73:80 
04/07-18:59:09.927666 [*] [1:0:0] CRACKER [*] [Priority: O] (TCP) 217.124.57.79:1106 -> 62.193.200.34:B0 
04/07-18:59:11.385585 [*] [1:0:0] CRACKER [*”] (Priority: 0] (TCP) 217.124.57.79:1107 -> 62.193.200.34:80 
04/07-18:59:12.183657 [**] [111:2:1] (spp_stream4) possible EVASIVE RST detection [**] (TCP) 217.124.57.79:1107 -> 
62.193.200.34:80 

04/07-18:59:12.327380 [*] [111:2:1] (spp_stream4) possible EVASIVE RST detection [**] (TCP) 217.124.57.79:1107 -> 
62.193.200.34:80 

04/07-18:59:12.903645 [**] [1:0:0] CRACKER [*] [Priority: O] (TCP) 217.124.57.79:1108 -> 62.193.200.34:80 
04/07-18:59:13.608078 ["] [1:0:0] CRACKER [*] [Priority: O] (TCP) 217.124.57.79:1108 -> 62.193.200.34:B0 
04/07-18:59:14.409719 [*] [111:2:1] (spp_stream4) possible EVASIVE RST detection [**] (TCP) 217.124.57.79:1108 -> 
62.193.200.34:80 


Pantalla 62. Destalle 


Ya está todo, es bastante potente, ha sido |" 
de las Alertas desde 


muy rápido y tiene muchas opciones; pero 
confiamos en que las puedas resolver por ti 
mismo sin mayor dificultad... y si no.... nos 
tienes en los foros: 


IDSCenter 


http://www.hackxcrack.com 


Hasta la próxima + 


ALTO!! No te vayas, un momento... el mes 
pasado nos dijiste que íbamos a realizar 
pruebas de comportamiento del IDS e 
intentar evitarlo o provocar un DOS... ¿donde 
está eso? 
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Pues llegará en el próximo artículo, la idea 
inicial era 3 artículos para snort, 1 para 
Firewalls y 1 de proxys,.. así que 
cambiaremos la estructura.... quedará así: 


Los tres artículos de snort que ya tenemos 
resueltos. 


El próximo artículo: Escaneres, pruebas de 
comportamiento y estabilidad del 
sistema. Una cuestión importante... es que 
esto no sólo servirá para analizar a snort... 
servirá para cualquier servidor, protegido 
o desprotegido, para una firewall, para 
probar un router, un pc cualquiera... 


Dejaremos para “mas lejos” Firewalls y 
Proxys... 


Ahora sí Y 


SUSCRIBETE A 
PC PASO A PASO 


SUSCRIPCIÓN POR: 
1 AÑO 
11 NUMEROS 


Contra Reembolso 


Solo tienes que enviarnos un mail a preferente OM)hackxcrack.com 
indicando: 

- Nombre 

- Apellidos 

- Dirección Completa 

- Población 

- Provincia 

- Cógigo Postal 

- Mail de Contacto y/o Teléfono Contacto 

Es imprescindible que nos facilites un mail o teléfono de contacto. 
- Tipo de Subscripción: CONTRAREEMBOLSO 

- Número de Revista: 

Este será el número a partir del cual quieres subscribirte. Si deseas 
(por ejemplo) subscribirte a partir del número 5 (incluido), debes poner 
un 5 y te enviaremos desde el 5 hasta el 15 (ambos incluidos) 


APRECIACIONES: 

* Junto con el primer número recibirás el abono de 45 euros, precio 
de la subscripción por 11 números (un año) y una carta donde se te 
indicará tu número de Cliente Preferente y justificante/factura de la 
subscripción. 

* Puedes hacernos llegar estos datos POR MAIL,tal como te hemos 
indicado; rellenando el formulario de nuestra WEB 
(www.hackxcrack.com) o enviándonos una carta a la siguiente dirección: 
CALLE PERE MARTELL N*20, 2*-128 

CP 43001 TARRAGONA 

ESPAÑA 

* Cualquier consulta referente a las subscripciones puedes enviarla 
por mail a preferente O) hackxcrack.com 


45 EUROS (10% DE DESCUENTO) 
=> 

SORTEO DE UNA CONSOLA XBOX 
=> 

SORTEO 2 JUEGOS PC (A ELEGIR) 


Giro Postal 


Envíanos un GIRO POSTAL por valor de 45 EUROS a: 

CALLE PERE MARTELL2O0, 2? 12. 

CP 43001 TARRAGONA 

ESPAÑA 

IMPORTANTE: En el TEXTO DEL GIRO escribe un mail de contacto 
o un número de Teléfono. 


Y enviarnos un mail a preferenteOMDhackxcrack.com indicando: 
- Nombre 

- Apellidos 

- Dirección Completa 

- Población 

- Provincia 

- Cógigo Postal 

- Mail de Contacto y/o Teléfono Contacto 

Es imprescindible que nos facilites un mail o teléfono de contacto. 
- Tipo de Subscripción: GIRO POSTAL 

- Número de Revista: 

Este será el número a partir del cual quieres subscribirte. Si deseas 
(por ejemplo) subscribirte a partir del número 5 (incluido), debes poner 
un 5 y te enviaremos desde el 5 hasta el 15 (ambos incluidos) 


APRECIACIONES: 

* Junto con el primer número recibirás una carta donde se te indicará 
tu número de Cliente Preferente y justificante/factura de la subscripción. 
* Puedes hacernos llegar estos datos POR MAIL,tal como te hemos 
indicado; o enviándonos una carta a la siguiente dirección: 
CALLE PERE MARTELL N*20, 2*-18 

CP 43001 TARRAGONA 

ESPAÑA 

* Cualquier consulta referente a las subscripciones puedes enviarla 
por mail a preferente OD) hackxcrack.com 


EvolutionxX 
Build 3921.nfo 
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XBOX LIFE VIL. 


En este tema del curso vamos a empezar a utihzar PHP con la navegación web, vamos a 


aprender como enviar datos de una págmia a otra. a recogerlos y a tratarlos 


posteriormente. 


HolO a todos y todas, llegamos al final del viaje, 
justo antes de las vacaciones. Este es el último 
artículo de XBOX LIVE. Ha sido un enorme placer 
haber escrito para la revista, Gracias. 


Bueno, este mes vamos a crear un SLAYER. Habrá 
peña que se estará preguntando qué demonios es 
esto, pues muy sencillo, vamos ha crear un CD o 
DVD que nos instalará distintas aplicaciones. 


¿Por qué no expliqué esto antes en vez de liaros 
con el FTP, Boxplorer y demás? Pues muy sencillo, 
para enseñaros como funcionan las cosas, que es 
la filosofía de la revista y la cual comparto. 


1.) Lo que necesitamos: 


» Xbox con mod chip instalado. 

» PC preparado. 

> Evolution x (ultima versión) 

>» Evox Skinner (veremos la versión 1.2.7). 
>» Programa de dibujo y de retoque fotográfico. 


Todos los programas los podéis encontrar en la 
Web de la revista (www.hackxcrack.com), así que 
ya lo estáis descargando e instalamos el Evox 
Skinner. 


Ahora creamos una carpeta llamada “Slayer” en 
nuestro ordenador y descomprimimos el Evolution 
X en ella. Veremos esto: 


evox.imi evoxdash.xbe 


5 


Borramos todo 
exceptuando: 


Trainers > evoxdash.xbe 
Source.zip 


> evox.ini 
[od Db Carpeta Skin (pero vacía). 


Trainers 


2.) Creando una Skin de Evolution X 


Ahora crearemos una Skin para el veos. Para los 
que no sepan lo que es una skin, decirles que es 


la apariencia del evolution x, la imagen de fondo, 
la imagen de carga, los colores del menú. 


Supongo que tendréis ya instalado el Evox Skinner 
y un programa de dibujo. 


Antes de seguir debo aclarar unas cosillas sobre los 
skin de evolution x. En los Skins de evolution x hay 


varios “objetos” que podemos definir. 


Veamos el ejemplo: 


O A A 


Administrar PODE 


1.) Hora y fecha. 

2.) Contenido del DVD 

3.) El menú, donde podemos definir los 
colores del borde de la barra, de la barra, 
del texto que ha pasado o esta en la barra 
y el texto que esta fuera de la barra. 
4.) Nombre puesto en el archivo evox.ini 
5.) Espacio libre en F: 

6.) Versión de la BIOS 

7.) Imagen de fondo 

8.) El logotipo de evolution X, que no aparece 
en la imagen porque esta en movimiento. 
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Esto es lo que vemos en un skin normal que viene 
con el evolution x. A excepción de la imagen de 
fondo y una posición del logotipo de evolution x, 
el resto no son obligatorios. 


Ahora debemos ir al programa de dibujo y crear 
una imagen jpg de 640x480, ya que el propio 
programador dice que si la imagen es mayor o 
menor puede dar fallos. 


Esta imagen puede ser como tú quieras, siempre 
y cuando no interfiera la lectura del menú. 


Esta es la imagen que he creado para la ocasión. 


Tiene 4 campos: IP, Estatus del DVD, Espacio libre 
en E: y Espacio libre en F: 


LATER 


He puesto estos campos porque nos serán útiles a 
la hora de instalar dashboards y utilidades. 


Debéis pensar en qué información necesitáis para 
instalar el contenido del cd. 


Después de crear nuestra primera imagen, creamos 
una segunda imagen del mismo tamaño, que será 
el que usaremos como fondo en la pantalla de 
carga. 


Este es el mío: 


craronnoo... 
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Muy simple, pero el mensaje queda muy clarito. + 


Ahora arrancamos el evox Skinner. 


“.EvoX Skinner 1.2,7 


Horote 
5] Mane Ses la “evon. ni” 
Tee on PE 

ses áñ 


ive 


809080 


Paso a explicar qué es cada campo 
y luego configuraremos nuestro skin: 


a.) Nombre del Skin 

b.) Autor del Skin (Nuestro nick o 
nombre). 

Cc.) Directorio de trabajo para el skin. 
d.) Imagen de fondo para el menú. 
e.) Imagen de carga. 

f.) Situación de logo de evolution X, 
tenemos que elegir una. Yo prefiero 
colocarlo en una esquina para que no 
se vea demasiado. 

9.) Color del relleno de la barra de 
selección. 

h.) El color del borde de la barra de 
selección. 

¡.) Color del texto que esta por encima 
o en la barra de selección. 

j.) Color del texto que esta por debajo 
de la barra de selección. 

k.) La transparencia de la barra de 
selección. 

1.) Configuración FTP para pasar los 
skin creados directamente a la consola. 
m.) Vista previa del fondo del menú. 
n.) Vista previa de la imagen de carga. 
ñ.) Etiquetas que podemos usar y lo 
que hacen. (Esto lo explicare en el 
ejemplo). 

0.) Lugar donde se insertara la etiqueta. 
p.) Distancia en pixels desde la esquina 
superior izquierda hacia la derecha de 
la imagen donde queremos que se 
vea la etiqueta. 

+) Distancia en pixels desde la esquina 
superior izquierda hacia abajo de la Y MUCHO MÁS EN... 
imagen donde queremos que se vea 
la etiqueta. 

r.) La transparencia del texto de la 
etiqueta. 

s.) Color del texto de la etiqueta. 
t.) Justificación del texto de la etiqueta. 
u.) Tres botones donde poder hacer 
distintas opciones. Add Anadir una 
etiqueta, Update Actualizar una 
etiqueta, Delete Borrar una etiqueta. 
v.) Lista de las etiquetas insertadas, las podemos modificar 
u borrar con los botones de U. 


CONECTA LOS MANDOS 
DE TU CONSOLA AL PC 


MIRA LA TELE EN TU GBA 


WWW.ONEPLAYER.NET 
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Vemos un montón de cosas, pero no os asustéis 
esto es muy fácil. 


La mejor forma de entender esto es con un ejemplo: 


Lo primero que debemos hacer es seleccionar un 
directorio de trabajo. Vamos a la carpeta “Skin” 
que tenemos en el directorio “Slayer” antes creada 
y creamos una carpeta. En la opción C seleccionamos 
la carpeta que acabamos de crear. 


En esta carpeta (yo la he llamado Slayer) copiamos 
las dos imágenes creadas anteriormente. 


En la opción A, ponemos el nombre de nuestra 
skin, en mi caso Slayer (que poco original que soy). 


En B, ponemos nuestro Nick o Nombre. En D 
seleccionamos la imagen que queremos de fondo. 
En E seleccionamos la imagen de carga. 


Ahora en F seleccionamos donde queremos que 
esté el logotipo de Evolution X, yo lo he puesto en 
la esquina inferior derecha, casi no ser percibe. 


G, seleccionamos el color del fondo de la barra. 
Seleccionar un color que no sea dañino a la vista 
y que quede bien con la imagen de fondo, evitar 
los colores como el amarillo que fastidia un montón 
la vista. 


En H seleccionamos el color del borde de la barra 
de selección. 1 y J, cuando creo un skin le pongo 
a estos dos campos el mismo color. 

K, si queremos que la barra tenga una transparencia 
poner un valor aquí, el 0.0 será totalmente 
transparente y el 1.0 será totalmente opaco. 


Bueno, ahora llega lo entretenido, no es complicado 
pero si laborioso, la introducción de etiquetas. 


Primero explicar que de la imagen que hemos 
creado no todo se va a ver, parte de la imagen se 
queda fuera, para saber lo que no se verá podemos 
pinchar en View->Preview. 


En la ventana que nos sale veremos una vista 
previa de nuestro skin, pinchamos en view->Tv 
border y nos saldrá un cuadrado señalando el borde 
de la televisión, pues desde la esquina superior 
izquierda de ese cuadrado se contaran los píxel 
para situar las etiquetas. 


Ahora ha llegado el momento de saber qué es eso 
de las etiquetas. Para los que han programado en 
HTML no les sonara tan raro; son unas palabras 
clave ente estos dos símbolos < > que tienen un 
significado para el evolution x. 


En mi caso tengo cuatro campos donde colocar 
cuatro etiquetas, que son: 


> la IP de la Xbox 

> el estado del DVD 

> el espacio libre en E: 
> y el espacio libre en F: 


Vosotros tendréis los vuestros y estarán situados 
en distinto sitio que el mío. 


Borramos todas las etiquetas que vienen en V y 
guardamos. 


Estos son los valores que he dado para mi skin: 


DOBSFF 
DOSEFF 


DOGSFF 
DOSSFF 


Como podemos ver, hay que introducir las 
coordenadas donde queremos que aparezca la 
etiqueta. 


La etiqueta <IP> esta situada a 110 pixels hacia la 
derecha desde la esquina superior izquierda y a 153 
hacia abajo desde el mismo punto. 


Esto lo debéis calcular vosotros mismos. Debemos 
que tener en cuenta lo que ocupa el texto real de 
la etiqueta, así que en la pantalla de vista previa, 
pinchamos en View->text y veremos el texto real 
y lo que ocupa. 


Guardamos todos los cambios y cerramos el 
programa, que con esto ya hemos terminado. 


3.) Modificando el Evolution X. 


Ahora vamos a usar unas funciones poco conocidas 
del evolution x para que copie el contenido de una 
O varias carpetas al disco duro de nuestra consola. 
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Abrimos el exvo.ini en un editor de texto como el 
notepad. 


La configuración... 


La configuración del evolution x se explico en números 
anteriores de la revista, si no sabes de lo que estamos 
hablando pásate por la web de la revista 


(www.hackxcrack.com) y pide los números atrasados. 


No es obligatorio pero es aconsejable que se 
configure el evolution x para poder acceder por 
FTP. 


Nos vamos a la parte del fichero donde pone 
[MENU] y borramos todo lo que haya debajo de 
Section “Root” X. 


Nos quedaría así: 


[MENU] 
Section "Root" 


( 
7 


Ahora nos vamos al directorio Slayer y creamos 3 
carpetas con estos nombres: C, E, F (Si no tenéis 
partición F no la tenéis que crear. Si tenéis partición 
G Deberíais crear una carpeta G). 


Copiaremos el contenido de las carpetas a su 
unidad. Cuando digo el contenido de las carpetas 
quiero decir que si tenemos archivos sueltos en la 
carpeta C del PC, estos archivos se copiaran a C: 
raíz de la consola, no se copiaran en ninguna 
carpeta. 


Si una carpeta que va a ser copiada no existe en 
la unidad de destino, se creará. 


Si la carpeta a copiar existe, el contenido de esa 
carpeta se copiara a esa carpeta. 


Parece un poco lioso pero no lo es tanto, lo veréis 
mejor con el ejemplo. 


En las carpetas creadas en nuestro PC (C, E y F) 
pasaremos lo que queramos copiar al HD de la 
consola. Por ejemplo, para el evolution X tendríamos 
que copiar la carpetas Skin y los archivos 
evoxdash.xbe y evox.ini a la carpeta C; pero si 
quisiéramos copiar el Boxplorer a la unidad E, 
tendríamos que crear una carpeta Boxplorer en la 
carpeta E y dentro de el pasaríamos los ficheros 
del boxplorer. 


PC PASO A PASO N* 21 


Pero imaginad que queremos copiar 
el boxplorer en la carpeta de 
aplicaciones (apps) pues 
tendríamos que crear una carpeta 
APPS en la carpeta E y en APPS 
tendríamos que crear una carpeta 
llama Boxplorer y dentro de esta 
copiaríamos los archivos del 


boxplorer. E (E) xcommanker 


Pongamos el ejemplo de una 
consola con el chip recién instalado 
pero sin evolution x ni nada. 
Queremos instalar el evolution x, 
y algunos programas. 


(5 FoToS 
(3 JUEGOS 
(E me 
3 (E dvd2x 
E (E xbmp 
(S mp3 
(5 VIDEOS 
ar 

(5 aPPs 
(3 Emu 
(3 Juegos 
(S mp3 
(2) Videos 


E 3 Skin 


Este seria el árbol de directorios: 


Aunque no se vean los archivos, 
están en sus carpetas. 


Una vez tengamos la estructura de 
carpetas, nos vamos al evox.ini en 
el editor de texto (que no os he 
dicho que cerréis). 


Esto es el código que he insertado 
ente las (>. 


Item "Instalar Evox",0201 

Item "Instalar Evox Con Particion F",0202 
Item "Formatear F:Y",0a210 

Item "Configuracion",ID_Settings 

Item "Reiniciar",ID_Quick_Reboot 

Item "Apagar",1ID_Power_Off 


Después de la “>” con una separación de 2 líneas 
en blanco, he introducido este condigo: 


[Action_01] 


Info "Se instalara evolution x y programas" 
Warning "Deseas Continuar?" 

Copy "McX" "cx" 

Copy "Mex" "er" 


[Action_02] 


Info "Se instalara evolution x y programas con 
particion F" 

Warning "Deseas Continuar?" 

Copy "McX”" "ci" 

Copy "AAN" "en" 

Copy "NeW" "fi" 


[Action_10] 


Info "Format F" 

Warning "This will format F" 
Progress "Formatting F" 

H 

H This will format F:X 

HF 

Format f: 
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Vamos a aclarar esto un poco: 


En el artículo de evolution x ya explicamos que 
podíamos insertar Ítems en el evolution x para 
crear los menús. 


* Item : inserta un item. 

* NIAStalarnEVOX: Texto que se vera en el menú. 
* 0201: La acción que debe ser ejecutada si esta 
opción es la elegida. 


Entonces queda claro que si pulsamos en la opción 
Instalar evox ejecutara la acción 01. 


Ahora explico las acciones: 


* [Action_01]: Número de la acción. En el item 
debe tener un 2 delante del número de acción. 


* Info “Se instalara evolution x y programas": 


Titulo informativo sobre la acción a ejecutar. 


* warning "Deseas Continuar?": Aviso con 


posibilidad de cancelar o continuar. 


* Copy "ex" "cs" y Copy "Yel" "e:Y"”: Copia 


el contenido de tal carpeta a tal otra. 
Entonces nuestro menú hará lo siguiente. 


Si ejecutamos la acción “Instalar Evox” copiaremos 
el contenido de la carpeta C a la partición C: y el 
contenido de la carpeta E a la partición E: 


En cambio, si elegimos la opción “Instalar Evox 
Con Particion F”, lo que haremos será copiar el 
contenido de la carpeta C a C:, la carpeta F a la 
partición E: y la E a la partición F:. 


Os podéis estar preguntando ¿Por qué lo hago así? 
¿No seria más lógico copiar la carpeta F a F: y 
seguir como estaba en la primera acción? 


Pues vamos por partes. Si tenemos el disco duro 
que viene con la consola y tiene partición F:, este 
será de dos GB y prácticamente ningún juego cabe 
en esta partición. En cambio, en E tenemos el 
espacio suficiente para copiar prácticamente 
cualquier juego (exceptuando varios juegos que 
ocupan seis GB o mas). 


Entonces pensé que lo mejor seria usar los dos GB 
para programas y dejar E: libre para los juegos. 
Por eso en la carpeta F solo están los directorios y 
no los archivos, para así solo copiar la estructura 
de directorios por si algún día se decidiese usar 
estas carpetas. 


Los demás ítems fueron explicados en anteriores 
números. 


Dejamos dos líneas en blanco justo después de la 
última acción. 


Nos vamos a la parte de configuración (arriba del 
todo). 


SkinName = Original 


Donde pone Original debemos poner el nombre de 
nuestra Skin. 


Ejemplo: 
SkinName = Slayer 
Guardamos y cerramos. 


El contenido de la carpeta Slayer la quemamos en 
un CD-RW o DVD como os enseñe en anteriores 
números. 


Lo insertamos en la consola y a instalar. 


SLATER 1.0 


Recordad que los programas que vayáis a instalar 
deben estar debidamente configurados. 


Este skin lo podéis bajar de la Web de la revista. 


Bueno pues ahora sí que hemos acabado el viaje. 
Aún quedan muchas cosas sobre Xbox que no he 
explicado, pero son más del tipo “BRICO-XBOX” y 
no creo que este sea el lugar apropiado donde 
publicar este tipo de artículos. 


Quisiera dar las gracias otra vez a todos los que me 
han leído, apoyado y sufrido durante estos 7 meses. 


PD. Hasta que nos volvamos a ver. 
Salu2, Bye. 
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